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머 리 ■ 


망환경을 안전하게 하는것이 지금보다 매우 쉬운 과제였던 시기가 있었다. 그때에는 
매개 사용자가 하나의 통과암호를 가지고 있고 정확한 파일허가준위가 설정되여 있으면 
자기의 망환경이 안전하다고 생각하였다. 물론 이러한 믿음이 어떻게 증명되였는가는 알 
수 없지만 사람들은 그것을 그대로 믿고 망환경의 안전성 에 대 하여 더 이상 생각하지 않 
았다. 

그러나 인터네트가 출현하자 모든것이 변화되였다. 

인 터네 트가 출현하자 정 보의 보급속도는 급속히 증가하였 다. 1990년대 초에 는 보안 
취 약성 이라는 말이 주요 잡지 나 신문들에 나지 않는 한 들어 볼수 없 었 다.그러 나 그때 에 
도 사람들이 더는 쓰지 않는 낡은 프로그람들에 대하여서는 취 약성 이 론의되였으나 많은 
사람들은 취 약성문제 에 대 하여 관심 을 적 게 돌리 고 있 었 다. 오늘날에 와서 는 많은 사람 
들이 1시간이 멀다하게 취약성에 대해 자주 말하게 되였다. 

이것은 제품의 취약성에 대한 이 모든 론의가 나쁜것이라고 말하자는것이 아니다. 
사실상 그 반대의것이 진실이다. 나쁜 의도를 가진 사람은 언제나 있었다. 저작권침해게 
시판은 1980년대이후 여러 곳에 있었다. 대표적으로 일부 사람들은 이러한 정보를 가장 
필요로 하는 사람들 즉 안전한 환경을 유지하려고 하는 망관리자들에게 전달할 아무런 
수단도 가지고 있지 못하였으며 오히려 따돌림을 당하였다. 

인 터네 트는 안전 한 환경유지 에 책 임 있 는 사람들에 게 취 약성정 보를 엄 을수 있 게 하 
는 훌륭한 수단으로 되 였다. 

망자원보안문제에 대한 인식이 높아짐에 따라 그에 대한 책임성도 커지게 되였다. 
이러한 문제는 취약성을 해결하여야 하는 프로그람회사들뿐아니라 보안방책을 세우고 배 
비하여야 하는 망관리자나 보안전문가에 있어서도 마찬가지이다. 

우편목록에 가입된 임의의 말단사용자들이 망전문가와 마찬가지로 취약성에 대하여 
알게 되 면서 부터 보안관련문제 를 배비 하여 야 할 절 박성 은 더 욱 높아 졌 다. 

그러므로 다른 문제들에서와 마찬가지로 보안에 대하여서도 좋은 자세를 가지는것 이 
필요하다. 

기본문제는 어디서부터 시작하는가 하는것이다. 방화벽에 대한 책을 살것인가 아니 
면 망봉사기보안에 대한 책을 살것인가? 이러한 취약성들이 어떻게 존재할수 있는가를 
리해 하기 위 하여서는 망통신에 대 하여서도 더많이 배워 야 할것 이 다. 

이 책의 첫 판이 출판된 다음 얻은 한가지 교훈은 보안문제를 어떤 하나의 고정된 
프로그람으로서가 아니라 망과 정보기술의 모든 측면을 동반하며 끊임없이 변화되는 과 
정 으로 보아야 한다는것이 였다. 

망의 어느 한 측면만 고찰하여서는 망환경의 안전을 기대할수 없다. 또한 이 과정 이 
다른 망조작들과 독립적으로 진행될수도 없다. 

이 책 에서 는 체 계 및 망관리 자들에게 여 러 측면에서 안전보호가 담보된 망을 운영하 
는데 필요한 정 보들을 제공하며 유용성，비밀성，관리 가능성 문제들을 고찰한다. 
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이 책에 포함된 내용 

제1장은 왜 망자원을 공격할수 있는가 하는것을 간단히 설명하는것으로 시작한다. 
여 러가지 종류의 공격자가 공격에 의하여 무엇을 얻으러 하는가를 배운다. 장의 마지막 
에 망에 대 한 잠재적 인 위협들의 수준을 평 가할수 있는 조사표를 주었다. 

제2장은 위험분석과 보안방책의 일반적개념을 준다. 위험분석의 목적은 망환경에 필 
요한 보안의 준위 를 정 량화하는것 이 다. 

보안방책 은 안전한 환경 을 유지 하기 위한 기 관의 방책 을 정 의한다. 

위 험분석 과 보안방책문서 들은 보안대 책 을 선택 하고 실 현할 때 중요한 기 초로 된다. 

제3장에서는 망에서 체계들이 어떻게 통신하는가를 간단히 고찰한다. 

이 장에서 는 정 보가 어 떻게 포장되는가를 고찰하고 규약의 리용에 대 하여 서 술한다. 
경로조종규약들에서의 취 약성과 어느 규약이 안전한 망환경을 유지하는데 도움이 되는가 
를 서 술한다. 마지 막으로 FTP , HTTP , SMTP 와 같은 봉사들을 어 떻게 안전하게 리 용할 
것 인 가에 대 하여 설 명한다. 

제4장에 서 는 위 상구조적 인 보안을 취 급한다. 이 장에 서 는 여 러 가지 배 선형 식 의 보안 
상 우점과 약점 그리 고 이씨네 트나 프레 임중계 등 여 러 가지 론리적위상구조의 보안특징 
들을 서술한다. 또한 교환기，경로기 그리고 계층3교환 등의 망하드웨어들을 어떻게 리 
용하면 보다 안전한 환경을 보장할수 있는가를 배운다. 

제 5장은 파케 트려과기 나 방화벽 과 같은 경 계 선보안장치 들에 대 하여 서 술한다. 접 근 
조종방책 을 세 우고 (2 장의 보안방책 에 기 초하여 ) 각이한 방화벽방법 들의 우점 과 약점 을 
검사한다. 또한 TCP 기 발들과 ICMP 의 형 태코드와 같은 접근조종방책을 세우는데 도움이 
되는 몇 가지 표들을 주었다. 

제6장에서는 Cisco 경로기자체의 보안특징으로부터 시작하여 표준 및 확장접근목록들 
을 고찰한다. 파케 트려 과기 를 리용하여 무엇 을 막을수 있 고 무엇 을 막을수 없는가를 고 
찰하며 많은 접 근목록실 례 들을 고찰하였 다. 그리 고 경 로기 를 동적파케 트려 과기 로 동작하 
게 하는 Cisco 의 새로운 재귀려과방법을 고찰한다. 

제7장에서는 망환경에 방화벽을 어떻게 배비할것인가를 보게 된다. 특히 Check 
Point 의 방화벽-1의 설치와 구성설정을 고찰하며 기반조작체계의 보안을 보장하고 쏘프 
트웨어 를 설 치하며 접 근조종방책 을 실 현 하는것 을 고찰한다. 

제 8장은 침 입 검 출체 계 ( IDS ) 를 취 급한다. 하나의 IDS 가 감시할수 있는 자료흐름패 런 
그리 고 이 기술의 일부 제 한성 을 보게 된다. 특정한 형 태의 IDS 실례 로서 인터네트보안 
체 계 의 RealSecure 를 고찰한다. 여 기 서 는 조작체 계 준비 , 쏘프트웨 어 설 치 그리 고 
RealSecure 를 어떻게 구성설정하여 특정형태의 취약성들을 검사할것인가를 취급한다. 

제9장에서는 인증과 암호화를 취급하였다. 강한 인증이 왜 중요하며 어떤 종류의 공 
격 이 약한 인증방법 들을 리용하는가를 배 운다. 여 러 가지 암호화방법 들을 취 급하고 암호 
화를 위하여 어떻게 옳은 알고리듬과 열쇠크기를 선택할것인가 하는것을 본다. 

제10장에서는 가상사설망 ( VPN ) 에 대하여 배운다. VPN 의 배비가 언제 필요하며 그 배비 
를 위하여 어떠한 선택들이 준비되여 있는가를 고찰한다. 한가지 실례로서 두개의 FireWaU -1 
방화벽을 리용하여 어떻게 VPN 을 만들것인가를 보게 된다. 또한 VPN 이 자료흐름에서 정확 
히 무엇을 하는가를 알게 된다. 
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제 11 장에서는 비루스，트로이목마，월에 대하여 취급한다. 이 프로그람들사이의 차이 
를 밝히며 정확히 그것들이 체계에서 무엇을 할수 있고 무엇을 할수 없는가를 보여 준다. 
차단프로그람을 배 비 하기 위 한 몇 가지 설계 실례 들, 여 러 가지 보호방법 들도 서 술하였다. 

제12장은 재난방지와 회복을 취급한다. 망의 여러 측면들을 고찰하면서 어디서 재난 
이 발생할수 있는가를 따져 본다. 광지역망에서 여분의 련결을 만드는것을 배운다. 이 
장의 뒤에서 Qualix 회사의 제품인 Octopus HA + 의 설치와 리용을 서술한다. 

제13장에 서 는 노벨 회 사의 NetWare 조작체 계 를 서 술한다. 사용자구좌설 정，파일허 가 
및 NDS 설계를 통하여 NetWare 환경을 안전하게 하는 방법들을 배우게 된다. 또한 이 조 
작체계에 준비 되여 있는 검열기능들을 서술하였다. NetWare 에 어떠한 취약성이 있으며 
그것을 어떻게 대 책할것 인가 하는것을 보게 된다. 

제 14장에 서 는 Microsoft Windows 의 망기 술 특히 NT 봉사기 와 Windows 2000봉사기 에 대 
하여 서술하였다. 보안기능이 강화된 령역구조설계를 취급하며 보안방책들을 어떻게 리용 
할것 인가를 본다. 사용자구좌의 기록，파일허용 그리고 일부 통과암호의 불확실성 등을 보 
여 준다. NT 의 IP 봉사와 그것 들을 배비 하는데 서 의 보안성 문제 들을 보여 준다. 

제15장은 UNIX 에 대 하여 서술한다. 특히 Linux 조작체계를 리용하는 체 계를 어떻게 
보안할것 인가를 설명한다. 사용자구좌，파일허 가 및 IP 봉사를 취 급한다. 그리 고 보안을 
보다 강화하기 위하여 조작체계핵심부를 어떻게 재구성할것인가를 상세히 설명한다. 

제16장에서는 공격자가 어떻게 정보를 수집하고 취약성들을 조사하는가 그리고 어떤 
공격 들이 있는가를 보여 준다. 공격 자에 게 있는 몇 가지 쏘프트웨어 도구들도 고찰한다. 

제17장에 서 는 보안취 약성 에 대 한 정 보원천들을 소개하였 다. 제 품의 판매자로부터 의 
정 보들과 많은 제 3자의 자원들을 소개한다. 취 약성자료기 지， Web 싸이트 그리 고 우편목 
록들을 제 시한다. 마지 막으로 모든 망체 계 들이 설정한 보안방책 에 추종하는가를 확인하 
는 도구인 Kane 보안분석 기 를 리용하여 망환경 을 검 사한다. 

누가 이 책들 읽어야 하는가 

이 책은 보안분야에서 많은 경험을 가지고 있지 않지만 하나의 완전한 체계를 운영 
하려 는 사람들을 위하여 특별히 계 획 하고 집 필 하였 다. 만일 자기 지 식기지 의 마지 막 5% 
를 마저 채우려고 하는 보안전문가라면 이 책은 그런 사람들에게는 적합하지 않다. 

그러나 만일 자기의 가장 큰 약점을 알도록 하는 실천적인 차림표를 찾고 있다면 
이 책 은 옳은 선택 으로 된 다. 이 책 은 전형 적 인 망 또는 체 계관리 자들을 념두에 두고 
쓴것이다. 망과 봉사기의 관리사업을 하고 있으면서 보안문제로 하여 피해를 보지 않 
기 위한 방도를 찾고 있는 관리 자들에 게 적 합하다. 

망보안문제 는 만일 시 간당 350딸라의 비 용으로 콤퓨터환경 을 조사하고 수리하여 주 
는 보안전문가를 데려다 쓸수 있다면 매우 쉬운 문제일것이다. 그러나 대부분의 사람들 
에 게 있어서 이 것은 예산수준에 맞지 않는다. 강력한 보안체 계 는 비싸지 말아야 하지 만 
구체적으로 하자면 시간과 노력 이 많이 든다. 망환경의 약한 고리들을 많이 보강할수록 
공격 자가 망에 대 한 공격 에 서 자원을 파괴 하기 가 더 어 려울것 이 다. 

이 책의 내용과 관련하여 의문이 있거나 설명이 필요하다면 다음의 전자우편주소로 
어 느때 든지 문의해 주기 바란다. 

cbreton @ sover.nef 또는 cam @ cameronhunt.com 
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제 1 장. 망보안의 필요성 


콤퓨터공격이 발생하였다는 소식이 매일같이 신문에 실리고 있다. 거의 매일 정부 
나 회사, 기관들이 운영하는 체계들이 침입 당하거나 파괴되였다는 소식을 듣고 있다. 
심지어 미국방성과 Microsoft 와 같은 높은 급의 기관들도 해킹 당하고 있다. 

이러한 기관들도 공격의 희생물이 되는데 자기의 회사를 보호하기 위해 무엇을 할수 
있겠는가를 생각할수 있다. 

보다 나쁜것은 대부분의 공격들이 공개되지 않는다는것이다. 미련방수사국에 대 
한 공격 은 신문의 첫 페 지 에 실 리지 만 많은 낮은 급의 기 관들에 대 한 공격믈은 일 반 
대중에게는 알려 지지도 않는다. 어느 회사가 자기의 금융정보를 가지고 있다든가 
또는 최신제품의 설계를 도난 당했다든가 하는것이 일반대중에게 알려 지면 엄중한 
경제적손실을 일으킬수 있다. 실례로 어느 은행이 자기의 콤퓨터보안이 침해 당하고 
많은 량의 돈이 잃어 졌다고 공개한다면 어떤 현상이 생기겠는가를 보자. 이 은행에 
구좌를 가지고 있다면 그는 무엇을 할것인가? 명백히 은행은 이 사건을 조용히 덮어 
버리러 할것이다. 

완전히 등록되지 않은 많은 공격들이 있을수 있다. 

가장 일반적인것은 내부적공격인데 이러한 경우에 회사나 기관은 그 종업원을 해고 
하는것 이상으로 문제를 확대하지는 않을수 있다. 실례로 한 박물관에서 자기들의 현재 
의 망설정을 보아 달라고 보안전문가에게 물어 본적 이 있었다. 박물관책임자는 망담당자 
들이 어떤 부정적 인 활동에 참가하고 있다고 의심 하고 있었다. 

보안전문가는 망담당자들이 모든 사용자들의 우편함(책임자의것도 포함하여), 로임 
자료기지 그리고 기부자자료기지 에 침투하였다는것을 알아 냈다. 그들은 또한 박물관의 
자원을 리용하여 자기들의 기 업을 운영 하고 있었으며 다른 망들을 공격하는데 리용될수 
있는 프로 그람도 구들을 퍼뜨리고 있었다. 이러한 침해에 도 불구하고 박물관에서는 법적 
제재없이 그들을 그저 해고시키기 로 하였다. 일 단 해 고되 자 그들은 자기들을 위하여 망 
에 설치한 많은《뒤문》들을 리용하려고 하였다. 계속되는 이러한 행위들이 탄로났으나 
박물관에서는 그것을 일반에 알려 지기를 바라지 않았다. 

얼마나 많은 보안관련사건들이 등록되지 않고 있는가에 대 한 명백한 통계 자료는 없 
다. 경험 에 의하면 사실상 대부분이 등록되지 않는다고 말할수 있다. 명백히 보안침해는 
계속 발생 하고 있고 매 개 망은 공격을 막기 위한 전략적대 책을 요구한다. 

기본내용에 들어 가기전에 다음과 갈은 문제에 대 하여 보기로 하자. 먼저 누가，왜 
망을 공격하려 하는가 하는것 을 보려 고 한다. 
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공격자의 립장에서 생각하자 


어떻게 하면 자원을 가장 잘 지킬것인가를 결정하기 위하여서는 누가 그것을 파괴하 
려고 하는가를 알아야 한다. 

대부분의 공격들은 우연적 인것으로 볼수 없다. 공격을 계획하는 사람은 공격대상자 
의 자산을 혼란시킴으로써 무엇인가 엄는것이 있다고 본다. 실례로 도적은 부자들을 더 
털어 내고 싶어 하는것이다. 누가 자원을 훔치거나 혼란시킴으로써 리득을 얻으러고 하 
는가를 아는것 이 그것을 보호하기 위한 첫 단계로 된다. 

공격자，해커，크래커 

많은 사람들은 흔히 공격자，해커，크래커라는 말을 같은것으로 쓰고 있다. 《우리 
는 해킹 당했다.》라는 말은《우리는 공격 당했다.》는 말과 갈은 의미를 가지는것으로 
보고 있다. 

그러나 이 세개의 용어는 큰 차이를 가지고 있으며 그 차이를 리해하여야 누가 망의 
보안을 돕고 누가 그것에 침입하려고 하는가를 알수 있다. 

공격 자는 대상자의 자원을 훔치거 나 혼란시키 려 하는 사람이 다. 공격자는 기술적으 
로 전문가이거 나 수준이 높은 애호가일수 있다. 공격자는 간첩 이 나 도적과 비슷하다. 

해커의 원래 의미는 를퓨터와 망에 대한 깊은 지식을 가지고 있는 사람이다. 해커들 
은 프로그람이나 간단히 실행시키는것에 만족하지 않으며 그것이 어떻게 동작하는가 하 
는 구체적인 특성까지 다 알려고 한다. 해커는 명백한것 이상으로 알아야 할 필요를 느 
끼는 사람이다. 해킹기술은 그의 사람됨과 동기에 따라 긍정적일수도 있고 부정적일수도 
있 다. 

해킹은 그들자신의 부문문화와 자신의 언어 그리고 인정된 사회적실천을 가지고 있 
다. 해커를 공격자나 지어 무정부주의자로 보도록 사람들을 추동하는것이 아마도 사람들 
의 습성인것 갈다. 

력사에는 그 시대의 문화수준의 리해를 훨씬 초월한 사람들이 많이 있었다. 레오 
나르도 다 빈치，갈릴레오，바이론，모짜르트，테슬라 등은 모두《공인된 사회적표 
준》과는 맞지 않는《이상한》사람들로 인정되여 있었다. 

정보시대 에 와서는 이 런 역 할을 해커 라고 부르는 사람들이 하고 있다고 볼수 있다. 

해커들은 보통 주장을 그대로 받아 들이지 않는다. 실례로 한 판매자가《우리 제품 
은 100% 안전하다.》라고 주장하면 해커는 그것을 하나의 도전으로 여길수 있다. 

해커가 알려 진 정보를 가지고 무엇을 하는가 하는것을 보면 그 해커가 어떤 색갈의 
모자를 썼는가를 결정할수 있다. 

어떤 정보체계에 대하여 리해를 더 하려고 하는 해커들과 그 지식을 리용하여 체계 
에 비법적 또는 비도덕적으로 침투하려 하는 해커들사이를 구별하기 위하여 콤퓨터부분 
의 일부 사람들은 후자를 가리켜 《크래커》 ( Cracker ) 라는 용어를 쓴다. 이것은《해 
커》라는 용어의 전통적인 의미를 보존하려는 시도였지만 이러한 시도는 크게 성과를 보 
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지 못하였다. 출판물들까지도 때로 그 용어를 쓰고 있다. 

그러나 법률은 그 의도에서의 차이를 인정하지 않으며 다만 비법적으로 체계에 침입 
한 행위로 본다. 

환모자해 커 , 회색모자해 커，검 은모자해 커 

어떤 프로그람에서 보안상의 약점을 리용할 방법을 얻은 해커와 그 약점을 공개하여 
알려 지게 하려는 해커를 흰모자해커라고 부론다. 

그러나 만일 해커가 보안상의 약점을 발견하고 자기의 개인적리익을 위하여 그 
것을 리용하려고 한다면 그 해커는 검은 모자를 쓰고 있다고 한다. 

회색모자해커는 낮에는 흰 모자，밤에는 검은 모자를 쓰는 해커이다. 달리 말하면 
보통 합법적인 보안전문가로 일하지만 자기시간에는 비법적인 활동을 계속하는 해커이다. 

회색모자로 볼수 있는 한 사람의 실례를 보자. 

J 라는 보안문제상담자가 한 조작체계의 불안전한 뒤문을 하나 발견하였다. 

그는 그것을 공격에 리용하지는 않지만 이 공격에 대하여 자기 의뢰자의 체계를 안 
전하게 하기 위한 합법적인 보수를 요구 한다. 달리 말하면 그는 그런 약점을 그자체로 
리용하지는 않으면서 자기의 개인적리익을 위하여 그것을 리용하고 있는것이다. 결과적 
으로 그는 약점은 그대로 남겨 두고 그것을 막기 위한 돈을 요구 하는것 이 다. J 는 이 문 
제에서 공개적인 수리정비를 위하여 제작자와 협동하지 않는다. 그것은 제작자가 수리하 
지 않도륵 하는것 이 그의 관심 이기때문이 다. 

좀더 복잡한 문제로 되는것은 많은 사람들이 보안약점의 세부를 공개하는 사람들의 
동기를 오해하는것 이 다. 

사람들은 흔히 이 사람들이 이러한 취약점들을 공개함으로써 다른 공격자들을 교육 
하려고 한다고 가정한다. 이것은 진실에 가까울수도 있다. 취약성정보를 일반에 공개하 
는것은 제작자와 체계관리자들을 경고하여 그들이 그것을 처 리할 필요를 느끼게 한다. 
그러나 공개적발표는 흔히 필요성과 관계없이 진행된다. 

실례로 펜리움이 인텔회사의 최신제품으로 나타났을 때 사용자들은 그 소편의 수값 
처리기부분에서 계산오차를 가져 오는 하나의 오유를 발견하였다. 이 문제가 처음 발견 
되였을 때 많은 사람들은 인텔과 직접 접촉하여 그 문제를 알리려고 하였다. 그러나 그 
들의 주장은 거절되거나 랭담한 대접을 받았다. 

오유의 세 부가 인 터 네 트를 통하여 발표되 고 공개 연 단들에 서 론의 되였을 때에야 인텔 
회사는 그 문제를 해결하기 위한 대책을 취하였다. 결국 인텔은 자기의 소편들을 무상으 
로 교체해 주기로 하였으나 인텔에 대한 불만은 계속 제기되였다. 

오유들과 약점들을 공개적 으로 발표하는것은 문제를 해결하기 위 한 좋은 방법의 하 
나로 될수 있다. 


추__°1 

문제가 생기면 먼저 제품제작자에게 알리고 수정이 진행될 때까지 공개하지 않는것 
이 옳은 례절이다. 보통은 제작자에게 적어도 두주일의 시간을 주고 공개연단에서 
약점을 발표하기전에 그것을 수정하도록 한다. 
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대부분의 제작자들은 이러한 문제에서 매우 책임적이다. 실례로 Microsoft 회사는 보 
안관련문제 들을 그것 이 알려 져 서 며 칠안으로 대 책 하고 있 다. 일 단 약점 이 대 중에 게 알 
려 지면 대부분의 제작자들은 그 문제를 될수록 빨리 해결하려고 할것이다. 

이러한 문제들의 공개적인 발표는 일부 사람들에게는 나쁜 생각을 할수 있게 하였다. 
어떤 사람이 보안관련문제를 발견하고 그것을 상세히 발표하면 다른 사람들은 그가 그 
보안약점 을 개 인적리 익을 위하여 리용하고 있는 공격 자라고 생 각할수 있다. 

그러나 보안관련문제 를 론의하는데서 이 러한 공개성은 쏘프트웨어제품의 안전성을 
높이는데 도움을 주었다. 


왜 망들 파괴하려고 하는가 

그러 면 무엇 이 망을 공격하도록 추동하는가? 언급한바와 같이 이 공격 들이 우연적 인 
것 은 극히 드물다. 그들은 거의 항상 그 공격 에 의하여 무엇 인가를 얻 으러 고 한다. 그 
공격 을 유발시키 는것 은 회 사나 기 관과 그 공격 을 계 획하는 사람에 게 달려 있 다. 

내부로부터의 공격 

실례 들을 연구한데 의하면 공격 의 대부분은 회 사나 기 관의 내 부에 근원을 두고 있다. 
어 떤 연구에 의하면 공격 의 70%가 회 사나 기 관안의 사람 또는 내 부의 정 보를 아는 사람 
(해 고자 등) 에 의하여 진행 되 였 다. 외 부의 공격 으로부터 자원을 보호하는데 는 보통 방화 
벽을 리용하면 되지만 이것은 회사나 기관의 망이 어떻게 동작하는가 하는것을 내부적으 
로 알고 있으며 자료를 손상시킬수 있는 기회가 가장 많은 내부종업원에 관한 문제이다. 

이 침 해 는 우연적 일 수도 있 으며 (사용자오유에 서 처 럼 ) 또는 어 떤 경 우에 는 의 도적 일 
수도 있다. 

진짜공격 의 가장 대 표적 인 근원은 불만을 가진 종업 원 또는 해 고된 종업 원 이다. 

어떤 보안전문가가 한 새 로운 의뢰자로부터 긴급호출을 받은적 이 있는데 그 의뢰 자 
는 인터네트접속을 완전히 잃었었다. 그 회사는 연구회사였으므로 인터네트가 절실히 필 
요했 다. 

그 회사는 한 종업원을《다른 기회를 찾아 이동하도록》하는 결정을 내렸는데 그 
종업원은 원래 떠나기를 원치 않았다. 그 종업원에게 자기 짐을 가지고 조용히 회사를 
떠나도록 지 시하였 다. 작은 회 사였으므로 그가 문을 나설 때 까지 바래줄 필요를 느끼 
지 않았다. 

나가는 도중에 그 종업 원은 회 사의 방화벽프로그람을 돌리 는 UNIX 체 계 에 잠간 멈 추 
어 섰다. 체계는 열린채로 있었고 어떤 형태의 통과암호도 리용하지 않았다. 그는 간단 
한 작별인사를 남기 기로 하고 여 러 프로그람파일들을 모두 지워 버리 였다. 그리고 경로 
조종기 의 V . 34케 블을 걷어서 가까이 있는 책상에 숨기 였 다. 이 사건은 설비 가 자물쇠 로 
잠근 방에 있 었 다면 예 방할수도 있는것이 였 다. 

대 부분의 관리 자들은 자기 방을 외 부적공격 으로부터 보호하는데 는 큰 관심 을 돌리 지 
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만 내부적공격의 보다 큰 위협에 대해서는 흔히 크게 느끼지 못하고 있다. 

실례로 한 회사소유자가 회사의 NetWare 봉사기에 대한 완전한 감독권한을 가질것을 
고집하였다. 그는 특별히 콤퓨터지식이 있는것도 아니고 이러한 접근준위를 요구하지도 
않았으나 자기 가 회 사의 소유자라고 하여 그것 을 고집하였 다. 

무슨 일이 일어 났는가를 독자들이 추측하리라고 믿는다. 자기의 체계에서 간단한 
몇가지 조작을 하다가 그는 부주의로 자기의 M : 구동기의 CCDATA 등록부를 지워 버리였 
다. 만일 Cc : Mail 을 관리해 보았다면 이 등록부가 우편국을 위한 보관장소이며 모든 우 
편통보문들과 공개폴더들을 포함한다는것을 알았을것이 다 . 

Cc : Mail 에서 기본우편파일들은 거의 항상 열려 있으며 보통방법으로는 복제하기 
어 렵 다. 이 회사는 종업원들이 거의 쓰지 않는 개 인용폴더들을 제외한 모든 우편통보 
문들을 잃 었다. 약 2년간의 자료가 모두 없어 지 고 말았다. 이것은 고의 적 인 공격 은 
아니 였지 만 회 사의 돈을 적지 않게 소비하게 하였 다. 

계속 증가되는 위협은 자료의 파괴가 아니라 자료의 도난과 손상이다. 이것을 보 
통 산업 (또는 기 업 )정 람이 라고 하는데 내 부적 자료파괴 와 같은것 으로는 보지 않지 만 
독점적이며 비밀적 인 정보를 가지고 있는 회사들 특히 그 자료가 손상되면 법적책 임 
을 져야 하는 그런 회사나 기관들에서 실제적인 위협으로 된다. 

이 에 대 한 한가지 실례 는 건강보험회 사 ( HIPAA ) 의 관할하에 서 건강관리 에 관계하 
는 기관을 들수 있다. HIPAA 의 행정적통제밑에서 개인의 건강정보를 보호하도록 보 
안표준들이 설정되 여 이 정 보에 대 한 적 당한 접 근과 리용이 허 가된다. 

비밀성에 대한 어떠한 침해도 정부의 법적제재를 받게 된다. 

외부로부터의 공격 

외부로부터의 공격은 많은 원천들을 가지고 있다. 이 공격들은 불만을 품은 종업원 
들로부터 올수도 있지만 가능한 공격자들의 범위는 많아 진다. 공통적인것은 공격에 의 
하여 무엇인가 얻으러 한다는것이다. 


경쟁자 

만일 어 떤 회 사가 경 쟁 이 매 우 심 한 기 업 을 하고 있 다면 야심 적 인 경 쟁 자가 그 망을 
공격하여 리득을 볼수 있다. 여 기 에는 설계 나 금융자료를 훔치 는 형 태 이거 나 또는 망자 
원을 쓸수 없게 만드는것일수도 있다. 

경쟁 자의 설계를 훔치는것의 리득은 명백하다. 이 정보를 가지면 훔친 자는 그 회사 
의 설계 를 리용하여 개 발시 간을 단축하거 나 자기 제 품의 성 능을 더 좋게 할수 있다. 만 
일 경쟁 자가 그 회사가 가까운 장래 에 어떤 제품을 내놓는가를 안다면 그 경쟁 자는 보다 
인기 있는 제품으로 시장에서 그 회사를 패배시킬수 있다. 

금융정보도난도 매우 불리할수 있다. 경쟁 자는 회사의 완전한 회계내용을 알게 되며 
시 장에 서 부당한 우세 를 차지 하게 된 다. 이 러 한 부당한 우세 는 그 회 사의 재 정 형 편에 대 
한 내 부적시 각을 가지 며 회 사의 수입 원천을 아는데 있 다. 
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실례로 경쟁자의 망에 침투하여 그 회사의 자산원천을 보여 주는 회계문건을 훔쳐 
낸 한 를퓨터상담회 사에 대 하여 보기 로 하자. 공격 자는 특히 자산의 60%이 상이 팍스기 
계，인쇄기，복사기의 판매로부터 생긴다는데 관심을 돌렸다. 이 정보를 알고 도적은 고 
객싸이트에 가서 말하였 다. 《 당신은 자기 의 콤퓨터 망때 문에 X회 사에 의 존하려 고 하는 
가? 그 회사는 주로 사무기계회사이고 그들의 기업은 팍스나 복사기를 팔고 있다.》이 
러 한 방법 으로 그는 다른 많은 고객 들에 대 해서 도 승리하게 되 였다. 

때로 공격 자가 리 익을 위하여 무엇을 제거하지 않아도 되는 때 가 있다. 

실례 로 한 사람이 Web 싸이트를 통하여 판매 를 실현하는 한 상업회 사에서 일 한다고 
하자. 그 사람은 자기의 목록체계를 가지고 있고 고객은 안전한 형식으로 주문을 할수 
있다. 그는 자기의 특정의 시장분야에 대하여 최저가격을 준비하고 있다. 

이제 한 경쟁자가 있는데 그의 가격은 약간 높다고 가정하자. 만일 경쟁자가 그의 
Web 싸이트를 기본련결들로부터 허용중지시킨다면 그것은 그 경쟁자의 기업에 도움이 될 
것 이 다. 그의 Web 싸이트에 도달할수 없는 고객 들은 대 신에 경 쟁 자의것 을 조사해 보게 
될것 이다. 고객들은 가격을 비교할수 없으므로 경쟁자의 싸이트에 제품을 주문하게 될것 
이다. 

실제적인 도난은 일어 나지 않았지만 이러한 봉사거절은 직접적으로 자산을 잃게 
한다. 이러한 형태의 공격은 립증하기 어려울뿐아니라 량적으로 취급하기는 보다 어렵 
다. Web 싸이트가 8시 간동안 단절 되 여 있 다면 얼 마나 많은 판매 량이 잃 어 졌 는지 알수 
있는가? 

이처럼 경쟁자의 공격을 당하기 얼마나 쉬운가 하는것은 그의 기업이 얼마나 경쟁적 
인가 하는것과 직접 관계된다. 

실례 로 고등학교는 경쟁 자학교가 다음학년도 과정안의 복사본을 흉쳐 가는것을 걱정 
하지 않아도 된다. 그러나 고등학교는 내부적공격들에 대하여 평균수준보다 더 높은 관 
심 을 돌려야 한다. 

호전적인 공격 

만일 어떤 회사가 내부론쟁 이 많은것으로 인정되면 그 회사는 다른 견해를 가지는 
사람들로부터 침 해 당하기 쉽다. 

실례로 의학연구에 대한 정보를 출판하는 한 회사의 사건을 보기로 하자. 그 회사의 
Web 싸이트에 는 류산에 대 한 자료들이 들어 있 었는데 그 싸이트를 검 색하던 한 사람이 
Web 봉사기관리자에게 전자우편으로 알리기를 그 싸이트의 일부 자료들이 그 회사가 의 
도하는것들이 아니 라고 하였다. 관리자는 류산에 대하여 서술한 모든 폐지들이 류산을 
반대하는 구호들과 성 서인용문들로 교체 된것 을 발견하였 다. 

이러한 공격은 회색적인것으로서 정보를 도난 당하지는 않았으므로 공격자를 기소하 
기 는 어 려 울것 이 다. 그 시 기의 관련법 에서 는 이 공격 을 비 문화적행위 로 규정하였다. 

그러나 시대는 변하고 있다. 

높은 급의 보안침해는 큰 보도거리가 되고 세계의 활동가들은 이것을 리용하여 자기 
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들의 목적을 추구하고 있다. 

그 첫 형태는 싸이버세계에서 군사적 또는 폭력적투쟁을 하고 있는 실지로 호전적인 
해커이다. 

여기에 4가지의 잘 알려 진 실례들이 있다. 

• 1998년 봄에 많은 관측자들은 파키 스탄과 인디 아가 무력 적 위 협 으로서 핵 무기 를 시 
험하고 언론전에 착수한것을 보았다. 이때 파키스탄과 인디아의 해커들은 상대방 
의 Web 싸이 트들에 대 한 공격 을 서 로 개 시 하였 다. 

• 1999년 봄에 나토가 쎄 르비아를 폭격하는 기 간 쎄 르비 아와 알바니 아해 커 들은 
서 로 상대 방의 싸이 트들에 침 입하였 다. 

• 2000년에 이스라엘의 정부당국자가 팔레스리 나의 성지 를 방문한후에 발생한 
격렬한 실제적인 적대행위들을 방불케 하는 싸이버전쟁이 팔레스리나와 이스 
라엘의 해커들(두 집단은 대체로 미국에 있었다.)사이에서 벌어 졌다. 

• 대 만과 중국의 해 커 들은 낮은 수준에 서 여 러 해 동안 싸이 버 공간에 서 서 로 상대 방 
을 헐 뜯고 깎아 내 리 였 다. 어 느쪽이 나 다 대 만섬 에 대 한 합법 적 인 주장을 가지 고 
있 었 다. 

다른 형태는 보통 욕심이나 호전적인것과는 다른것들인데 흔히 《해커주의자》라고 
한다. 이 들은 봉사를 중지 시키 고 Web 싸이트를 헐 뜯으며 또는 자기 들의 주장에 주의 를 
돌리 게 할 목적 을 가지 고 체 계 들을 공격한다. 

최근의 실례들을 보면 다음과 같다. 

• 2000년 11월 7일 에 (미 국에서 대통령 선거 날) 한 해커 가 공화당의 민족위 원회 폐 지 
에 침 입 하여 그 내 용을 부대 통령 고어 의 서 명 들로 바꾸어 놓았다. 

• 2000년 6월에 S11 이 라는 오스트랄리 아의 한 집 단이 Nike.com 을 가로채서 나이크 
로 가려 던 방문자들을 S11 의 반나이 크싸이 트에 로 보내 였 다. 

• 1999년의 세계무역기구회의기간에 영국에 있는 전자히피 라는 한 집 단이 WTO 의 
싸이 트를 일 시 마비 시 켰 다. 

_ 급의 공격 

잘 알려 져 있거 나 대중의 눈에 자주 보이는 기 관들은 그저 눈에 띄인다는것 으로 하 
여 공격 의 대 상으로 될수 있다. 해커 가 되보려 고 하는 사람은 성 과적 인 공격 이 자기의 
이 름을 높여 주리 라는 희 망을 가지 고 이 름 있는 싸이트에 침 입하려 고 할수 있다. 지난 
몇년동안 발생한 높은 급의 공격 의 실 례 들을 들어 보자. 

• 1997년 3월 에 H4G1S 라고 부르는 한 집 단이 미 항공우주국 (NASA) 의 Web 페 
지들중 하나를 로출시키고 그것을 인터네트를 상업화하려는 회사들에 대한 앞 
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으로의 공격을 경고하는 연단으로 리용하였다. 

• 1999년 3월 에 주요 미 국정 부싸이트들인 Whitehouse . gov , FBI . gov , Senate . gov 들 
이 지워 졌다. 

• 2000년 2월 에 가장 높은 급의 인 터네 트관련회 사들중 일 부가 봉사거 부공격 을 
받았다. 그중에는 Amazon . com , Buy . com , CNN . com , eBay , E * Trade , Yahoo ! 그리 
고 ZDNet 4 들어 있다. 

• Microsoft 는 2000년 10월 에 해 커 들이 여 러 주동안 자기 들의 싸이 트에 침 입 하였 
다고 발표하였다. Microsoft 는 해커들을 처음부터 알고 있었다고 주장하였지만 
그것은 그 회사에 있어서는 굴욕적인 순간이였다. 

회 사나 기 관이 높은 급인 가 아닌 가를 결 정 하기 는 어 려울수 있다. 대 부분의 회 사나 
기 관들은 인 터네 트에 서 의 자기 들의 위 상이 나 존재 를 흔히 과대 평 가한다. 회 사가 다국적 
기업이 아닌 이상 또는 싸이트가 매일매일 인기 있는 Web 봉사를 하지 않는 이상 그 싸 
이트는 아마 주요공격목표로는 되지 않을것 이 다. 

바운스우편 

가장 참을수 없는 공격형태는 자기 령역의 우편체계가 스팸중계기로 리용되는것 
이 다. 스팽 이 란 무차별적 인 광고배 포를 의미한다. 스팽은 어 떤 제 품이 나 봉사에 대 한 
관심 을 불러 일 으키 기 위하여 무차별적 으로 광고들을 배 포한다. 스팸 으로 하나의 광 
고를 발송하면 그것은 수천개의 전자우편주소들과 우편목록들에 도달하게 된다. 스팸 
이 어 떤 우편체 계 를 스팸중계 기 로 리용하면 그 우편체 계 는 이 모든 통보문들을 배 달 
하는 호스트로 된다. 

그 결과는 봉사의 거 부이다. 그 우편봉사기 가 이 스쟁 우편들을 처 리하는데 시 간을 
다 보내므로 자기의 령역 ( domain ) 에서의 합법적인 우편물들을 처리할수 없게 된다. 


일러두기 

가장 현대적인 우편체계는 지금 반스평설정기능을 가지고 있다. 이 설정寒 스팽통 
보문을 받는것을 막을수는 없으나 그 체계가 스팽중계기로 리용되지 못하게 한다. 


보복을 두려워 하는 대부분의 스팽사용자들은 자기것 이 아니 라 남의 우편체계를 리 
용하려고 한다. 전형적인 스팽사용자는 실제적인 귀환주소를 숨김으로써 그 통보문을 추 
적하려 고 하는 사람이 그것을 다른 령역 에서 배포하는것으로 알게 한다. 많은 인터 네트 
사용자들이 스팽우편을 받는것을 좋아 하지 않으므로 그들은 이 모든것을 힘들게 한다. 
《 달가와 하지 않아도 된다.》는것 이 그들의 속대 사이 다. 스팽 우편은 많은 사람들을 격 
분시키 며 그들은 우편폭탄이 나 봉사거 부공격 으로써 보복조치 를 취 하게 된다. 

이러한 반공격은 그 기업에 인차 파괴적인 결과를 가져다 줄수 있다. 실례로 한 작 
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은 망제품제작회사에서 인터네트접속이 된후에 한 적극적인 판매원이 망에 련결된 매 우 
편목록과 뉴스그룹들에 대 량우편을 보낼 좋은 생각을 하였다. 

우편에서는 아주 적은 응답이 나타나는데 그 판매원이 희망했던 형태에서는 그렇지 
않았다. 몇시간내로 수만개의 통보문들이 그 령역에로 배포되기를 시도하였다. 우편이 
너무 많아서 우편봉사기와 우편중계기의 디스크공간이 넘쳐 나게 되였다. 수천개의 통보 
문속에 서 어 느것 이 합법 적 인것 이 고 어 느것 이 공격 을 위 한것 인지 결정 하는것 이 불가능하 
게 되였다. 결과로 모든 내부우편들은 쫓겨 나게 되였고 우편중계기는 공격이 가라앉을 
때까지 약 한주일동안 정지되게 되였다. 

이 특수한 공격은 한 종업원의 근시안적인 생각에 의한것이지만 체계를 통하여 경로 
설정된 외부적스팸은 갈은 현상과 비용손실을 일으킬수 있다. 

제1장의 조사표 

아래의 내용들로부터 자기 망의 공격감수성을 평 가할수 있다. 


공격잠재력들 평가하기 

다음의 문제들은 자기의 망에 대한 잠재적위협들을 평가하는데 도움이 폭것이다. 
매개 문제를 1〜5까지의 척도로 평가하시오. 1은 그 질문이 자기의 망환경에 ᅵ용되지 
않는다는것 을 표시하며 5는 그 질문이 직 접 적 용가능하다는것 을 의 미한다. 

문제 1. 망이 도서관이 나 정부기관과 같은 공공기 관에 물리적 으로 접근가 f 한가? 
문제 2 . 망에 학교나 대 학과 같이 그 기 관에 속하지 않는 사용자들이 접근기 능한가?: 
문제 3. 인 터네 트봉사제 공자와 같이 공개 적 인 망봉사를 제 공하는가? 

문제 4. 망담당자외에 뿌리권한 또는 관리자권한을 가진 사용자가 있는가 
문제 5. 사용자에 게 손님 ( Guest ) 과 갈은 공통가입이 름이 허 용되 여 있는가‘ 

문제 6. 그 기관이 분쟁이 많은것으로 간주될수 있는가? 

문제 7. 그 기관이 금융 또는 화폐정보를 취급하는가? 

문제 8. 망의 일부가 일반 ( Web 봉사기，우편봉사기 등)에서 전자적으로 접근가 눈한가? 
문제 9. 그 기관이 제품을 생산하는가 또는 기술봉사를 하는가? 

문제 10. 그 기관이 급격히 성장하고 있는가? 
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문제 11. 그 기관에 대한 소식이 신문이나 상업잡지들에 정기적으로 나타나는가? 
문제 12. 그 기관이 인터네트나 프레임중계와 같은 공공망통로로 기업을 하고 a 는가? 

문제 1一6에 대 하여 자기의 기 관이 8부터 12사이의 점수를 받았다면 내복 망을 안 
전하게 하기 위 한 대책을 세워 야 한다. 12이상의 점수를 받았다면 내부환경 을 닫아 매 
고 망파라메터 들을 안전하게 하여 야 한다. 

문제 6 —11에 대 하여 점수가 7부터 10사이에 있다면 망은 최소의 보안츠 로 가장 
큰 효과를 얻 을수 있 다. 점 수가 11부터 16사이 에 있 다면 강력한 방화벽기 술될 사용하 
여 야 한다. 16이상의 점수라면 여 러 겹의 방화벽리용을 고려하여 야 한다. 


주 의 

이 조사표의 결과와 함께 기관안에서의 콤퓨터전문기술수준을 잘 알아야 한다. 
《고급한 사용자》환경은 부주의로 손해를 끼칠 가능성은 적지만 공격 에 필요한 지 
식을 가지게 되므로 내부공격위협 이 존재한다. 반대로《저급한 사용자》환경은 공 
격가능성은 적지만 우연적 인 손해를 끼칠 가능성 이 있다. 


O 야 

」丄 一 I 

이 장에서 우리는 보안관련사건들이 계속 많아 지고 있으며 그 대부분이 공개되지 
않는다는것 을 보았다. 또한 해커 와 공격 자의 차이 가 무엇 이 며 보안취 약성 문제 를 공개연 
단에 서 토의하는것 이 좋다는것 을 알았다. 또한 누가, 왜 망을 공격하려 고 하는가，망이 
공격 목표로 될수 있는 가능성 은 어 떠한가에 대 한 평 가문제 를 보았다. 

이제는 누가, 왜 망을 공격하려고 하는가를 리해할수 있고 회사나 기관에 대한 여러 
가지 위 험준위도를 평 가할수 있 다. 위 험분석 을 진행 함으로써 자기 의 기 관을 보호하는데 
얼마만한 보안이 필요한가 하는것을 보다 명백히 알게 될것이다. 
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제 2 장. 얼마만한 보안이 필요한가 


어떻게 하면 자기의 망을 잘 지킬것인가를 결정하기전에 달성하려고 하는 보호의 수 
준을 알아야 한다. 실지로 얼마만한 수준의 방어요새를 구축해야 하는가를 결정하기 위 
하여 망을 분석 하는것으로부터 시 작한다. 

다음으로 이 지식을 리용하여 자기의 보안방책을 작성한다. 이 정보로 무장하면 
자기의 보안구조에 대한 정확한 결정을 내리는데서 좋은 출발위치에 섰다고 볼수 
있 다. 


우 I 험 분석 

위험분석이란 보호하려고 하는 자산과 그것들에 대한 적대적인 위협들을 식별하는 
과정 이 다. 

정확한 위험분석을 진행하는것은 망환경을 안전하게 하는데서 절대적으로 필요한 단 
계이 다. 

위험분석은 다음의 문제들에 대한 대답이다. 

• 어떤 자산을 보호하여야 하는가? 

• 어떤 공격으로부터 이 자산들을 보호하려고 하는가? 

• 누가 망을 손상시키 려 하며 무엇을 얻으러 하는가? 

• 망에 대한 공격위협가능성은 어떠한가? 

• 자산이 손상된다면 직접적인 비용손실은 얼마인가? 

• 공격이나 오유를 회복하는데 드는 비용은 얼마인가? 

• 어떻게 효과적인 비용으로 이 자산들을 보호할수 있는가? 

• 안전한 환경을 위하여 요구되는 보안준위를 지시하는 관리자상급에게 내가 
지 배 되 는가? 

어떤 자산들 보호하여야 하는가 

효과적 인 위험분석을 진행 하려면 보호하려고 하는 자산과 자원을 아는것으로부터 시 
작하여 야 한다. 자산은 다음의 4가지 부류로 가를수 있다. 

• 물리적자원 

• 지적자원 

• 시 간자원 

• 인식자원 
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물리적자원 

물리적자원이란 물리적형태를 가지는 자산이다. 여기에는 워크스테이션，봉사기，말 
단기，망집선기 그리고 주변장치 등이 포함된다. 

기본적으로 물리적형태를 가지는 임의의 콤퓨터자원들을 물리적자원으로 볼수 있다. 

위험분석을 할 때 물리적자원을 잊지 말아야 한다. 

보안방책이 엄격하지 못한 한 회사에서 있은 실례를 #어 보자. 

어느 날 한 사람이 앞문으로 들어 와서 자기를 인쇄기수리공이라고 소개하였다. 접 
수원은 사람을 잘 믿는 사람이였는데 손을 흔들어 그를 통과시키면서 회사의 망관리자의 
사무실을 가리켜 주었다. 몇분후에 그《수리공》이 돌아 나왔는데 인쇄기가 고장나서 
그것을 상점에 도로 가져 간다고 하였다. 

물론 인쇄기는 고장나지 않았고 그《수리공》은 망관리자를 찾지도 않았다. 그는 
최고급의 인쇄기를 가지고 문밖으로 사라져 버렸다. 망관리자는 종업원들이 인쇄를 할 
수 없다고 알려서 야 그 도난사고를 알게 되였다. 

위험분석의 최종목적읔 자원을 지키기 위한 효과적인 계획을 작성하는것이다. 

분석과정에 가장 명백한 문제들을 놓치지 말아야 한다. 실례로 우에서 본 인쇄기도 
난사고는 회사가 모든 외부인원들을 바래주도록 요구했더라면 완전히 막을수 있는것이 
였다. 이러한 예방조치를 실현하는데는 비용이 들지도 않는다. 


지적자원 

지적자원은 주로 전자적형태로 존재하므로 물리적자원보다 식별하기가 어렵다. 지적 
자원은 기업에서 일정한 역할을 노는 임의의 형태의 정보일수 있다. 여기에는 프로그람， 
금융정보，자료기지, 설계도면 등이 포함된다. 

때문에 시간을 들여서 지적자원들의 목록을 만들어야 한다. 여기서는 가장 명백 
한 대상도 잊고 빠뜨리기 쉽다. 실례로 회사가 전자우편을 통하여 정보를 교환한다면 
이 전자우편통보들이 보관된 파일은 지적자원으로 보아야 한다. 

시간자원 

시간은 때로 위험분석에서 잊고 넘어 가는데 시간도 중요한 자원이라고 볼수 있다. 
잃은 시간으로 하여 지불된 비용을 계산할 때에는 잃은 시간으로 인한 손실들을 모 
두 포함시켜야 한다. 


잃은 시간이 얼마만한 가치가 있는가? 

한가지 실례로 봉사기 한대를 기관의 자원으로 본다고 하자. 사람들은 물리적자원 
(봉사기 자체)과 지적 자원(봉사기의 하드구동기 에 보관된 자료)을 갈은것 으로 보고 있다. 
시 간자원은 위험분석 에서 어 떻게 고려 할것 인가? 

봉사기는 밤마다 여 벌복사 (back up ) 되 고 있지만 고장은 없다고 가정 하자. 포名 기 
술자료들을 보관한 하나의 디스크가 있다. 봉사기의 하드구동기가 고장나면 어떻게 될 
것 인가? 이 고장으로 하여 물리적자원，지적자원, 시간자원에서 무엇을 잃게 되는가? 
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물리적손실은 구동기 그자체 일것 이고 그 값은 얼마되지 않는다. 

지적손실을 보면 마지막복사후에 구동기에 보관된 자료는 없어 질것이다. 밤마 
다 복사를 하므로 그 손실은 하루의 정보가치보다는 콜수 없다. 시간에로 돌아 가 
보면 기술자들이 잃어 진 정보를 복구하는데 시간을 소비하게 된다. 

실제 적 인 시 간손실을 계 산하는데서 봉사기 관리 자의 대수리 작업 을 고려 하여 야 한다. 

봉사기관리자는 

• 적당한 교체용구동기를 마련하며 

• 체 계 에 새 구동기 를 설 치 하며 

• 필요하다면 망조작체계를 완전히 재설치하고 필요한 프로그람들도 재설치 
하고 여벌복사하며 

• 聲寒 필요한 여 벌복사레 프들을 다시 보관하고 매 일밤 완전여 벌복사가 수행 
되지 않는다면 재보관할 레프들을 다중으로 준비하며 

• 디 스크공간문제 들을 처 리 한다. 

또한 봉사기관리자는 봉사기를 회복하는데만 집중하기때문에 그밖에 다른 일 
감들은 뒤로 미투어야 한다. 봉사기관리자가 이 모든 일들을 하고 있는 동안 기 
술직원들은 봉사기가 회복되기를 기다리면서 한가히 앉아 있게 핀다. 결국 시간을 
잃은것 은 봉사기 관리 자뿐이 아니 라 전체 기 술직 원들이 다. 

이 손실을 량적으로 표현하기 위하여 비용으로 계산해 보자. 

봉사기관리자는 하루동안에 봉사기를 회복할 충분한 능력이 있다고 가정하자. 또 
한 그는 년간 50，( K )0 딸라의 적당한 봉급을 받고 이 체계를 리용하는 30명의 프로그람 
수들의 봉급은 년간 60,000딸라라고 가정하자. 

• 관리자의 봉사기회복시간 = 192딸라 

• 자료의 하루의 가치를 회복하는 기술적시 간 = 6,923딸라 

• 봉사기가 차단된것으로 인한 기술적시간 = 6,923딸라 

• 하루의 중지로 인한 전체 비용손실 = 14,038딸라 

명백히 봉사기의 하루동안 멈춤으로 인한 비용은 여분의 디스크， RAID 묶음, 지어 
교대용봉사기의 사용비용을 쉽게 정 당화할수 있다. 이 계산에서는 관리성원들이 계획된 
출하날자를 보장하지 못함으로 하여 초래 되 는 손실된 수입 과 인기저 하에 대 하여 서 는 
고려하지 않았다. 


기관안의 자원에 대하여 시간척도를 규정하였다면 그와 관련한 인자들을 모두 고 
려해 야 한다. 자원의 분실 또는 손실은 생산성에 크게 영향을 미친다. 
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인식자원 

2000년 2월 에 있 은 봉사거 부공격이 후에 많은 회 사들 ( Yahoo , Amazon , eBay , 
Buy.com 등을 포함하여)은 자기들의 주식가격 이 떨어 졌다는것을 알게 되 였다. 이 손실 
은 오래동안은 아니였지만 소비자들과 주식소유자들의 신용에 큰 타격을 주었다. 

2000년 10월에 있은 Microsoft 의 체계를 침입한 사건때에도 어떤 사람들은 귀중 
한 원천코드가 남모르게 교체되지 않았는가 걱정하였다. Microsoft 는 피 해를 부인했 
으나 명백한 침 입사건은 회사뿐만아니 라 그의 제품들의 신용도 떨어 뜨리기 에 충분 
하였다. 


주 의 

공개적으로 활동하는 회사들에서 그 이름은 현실적인 자산으로 전환될수 있다. 비 
밀 적 으로 존재하는 회 사나 정 부기 관들에 서 도 그 이 름은 매 우 중요하다. 

많은 경 우에 기 관들은 실제자료의 완전성 을 유지 하는데보다는 신용과 능력 에 대 한 
인식 을 유지 하도록 하는것 을 더 중시하는데 로 나가고 있 다. 


인식 을 잘못 가지 는데 서 오는 피 해 는 보안산업 (법 집 행 기 구들을 포함하여 ) 에 서 일 하 
는 사람들에게서 중요한 문제로 된다. 

그들은 보다 좋은 보호체 계 를 설 계하거 나 법 적활동을 추구하는데 서 자기 동료들의 
정보와 경험에 많이 의존하는것이다. 

해 킹공격의 교묘한 기술적세부들을 자유롭게 교환할수 있도록 고무하려는 시도에서 
기 여하는 회 사들에 대 한 인식 을 유지 하면서 련방수사국 ( FBI ) 에서 는 기 반구조보호 및 콤 
퓨터침입보호기구 ( IPCIS ) 를 창설하였다. 이 기구는 해커기술들과 프로그람에 대한 닉명 
의 교환소로서의 역 할을 놀고 있다. 


주 의 

봉사거부공격 ( DoS ) 은 체계가 망통신을 못하게 하는것 이 다. DoS 공격은 목표체계 
에서 하나의 봉사가 동작할수 없게 하거나 또는 모든 망접속이 거부 당하게 할수 
도 있다. 


무엇으로부터 망자원들 보호하려고 하는가 

잠재적망공격은 망에 접근권한을 가지고 있는 임의의 원천으로부터 올수 있다. 이 
원천들은 회사의 크기와 제공된 망접속형식 등에 따라 넓은 범위를 가진다. 

위 험 분석 을 통하여 모든 잠재 적 인 공격원천들을 식 별 하여 야 한다. 그 원천들을 보면 
다음과 같다. 

• 내부체계 

• 현장사무실위치로부터의 접근 

• 광지역망련결을 통한 기 업상대 에게 로의 접근 
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• 인터네트를 통한 접근 

• 모뎀규약변환기를 통한 접근 

누가 망들 과고 I 하려고 하는가 

앞의 장에서 우리는 리론적으로 누가 망을 손상시킬수 있는가를 보았다. 이제부터 
이 잠재적 인 위협들을 알아 보자. 

다음과 갈은 잠재적위협들이 있다. 


• 종업원 

• 림시성원 또는 상담자 

• 경쟁자 

• 기관과는 근본적으로 다른 견해와 목적을 가진 사람 

• 기관이나 종업원에 대하여 불신을 가지고 있는 사람 

• 인기 있는 기관을 공격하여 악명을 떨치려는 사람 

회사나 기관에 따라 이 사항에 첨가할수 있는 다른 잠재적위협들도 있을수 있다. 

중요한것은 매개 위협이 성과적인 공격에 의하여 무엇을 얻으러는것인가，이 공격이 
잠재 적 공격 자에 게 가치 가 있는것 인가 하는것 이 다. 

공격의 가능성은 어田한가 

기관의 자원들과 그것들을 공격하려는 사람들을 알게 되였으므로 이제는 잠재적공격 
위험의 수준을 평가할수 있다. 

망이 고립된 망인가，아니면 광지역망，모뎀규약변환기，인터네트를 통한 내부 
VPN 등과 같은 입구점들을 가지고 있는 망인가? 

이러한 모든 련결점들이 강한 인증과 어떤 형태의 방화벽장치를 리용하는가? 

공격 자가 망자원에 접근하기 위하여 이 접근점들을 써먹을 가치 가 발견될수 있는가? 
명백 히 전형적 인 공격 자는 작은 건축회사보다는 은행을 공격하려 고 할것 이 다. 

망의 공격가치를 평가하는것은 매우 주관적 이 다. 갈은 기관안의 두 사람이 공격 
의 가능성에 대하여 완전히 서로 다른 의견을 가질수 있다. 그러므로 기관안의 여러 
부서들의 의견들을 고려하여야 한다. 또한 위험평가를 결정하는데서 경험 있는 상담 
자를 데려 올수도 있다. 공격의 가능성을 될수록 명백히 정의하고 리해하는것이 중요 
하다. 

직접비용은 얼마인가 

매개의 목록에 있는 자산에 대하여 그 자원이 손상되거나 파괴되였을 때의 직접비용 
을 기 록한 다음 장기 적효과는 포함시키 지 말고 그저 망자원 으로서 접 근불가능하게 되 였 
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을 때의 비용손실을 계산한다. 

실례로 우리가 앞에서 본 하드구동기고장의 경우에 직접비용은 봉사기가 멎어 있는 
매 분당 기술직원들의 잃어 진 생산성 으로 정의되는데 약 14. 5딸라이다. 

직접비용을 정량적으로 취급하기 어려운 경우도 있다. 실례로 망손상으로 하여 경쟁 
자가 새로운 생산선의 도면이나 부분품목록 등에 접근할수 있게 되였다면 어떻게 될것인 
가? 이렇게 되면 경쟁자는 더 좋은 제품을 개발할수 있고 남의 제품을 시장에서 내쫓게 
될것이다. 이러한 경우에 손실은 재난적인것으로 된다. 

량적으로 계산하기는 보다 어렵지만 보다 실제적인것은 신용의 손실 또는 약점의 인 
식 이 다. 투자가들과 소비 자들의 신뢰가 손상되는것은(종업원들의 사기 가 떨어 지는것은 
내놓고도) 보통 낮은 주식가격에 반영되며 이 모든것은 최종결과에 영향을 줄수 있는 직 
접적인 반응이 다. 

그러나 때로는 화페비용이 손실을 결정하는데서 기본인자로 되지 않는 때도 있 
다. 실례로 공격자가 병원의 의학보고서들을 파괴한다면 이것은 생명에 대한 비극 
적인 손실을 초래할수 있다. 손실에 대한 직접비용을 계산할 때 딸라값만을 보아서 
는 안된다. 

장기적회복비용은 얼마인가 

손상으로부터 회복할 때의 비용을 계산하여 보자. 이것은 여러가지 준위의 손실로 
인 한 금융적충격 을 리해하는것 에 의하여 평 가한다. 

실례로 기업의 정보를 가지고 있는 봉사기가 주어 졌다고 하면 

• 모든 리용자들을 차단하는 순간적 인 고장을 회 복하는데 소비 되 는 비 용은 얼 
마인가? 

• 일정한 시 간동안 자원에 도달 못하게 하는 봉사거 부공격 으로 인한 비 용은 얼 
마인가? 

• 손상되거나 지워 진 중요한 파일을 회복하는 비용은 얼마인가? 

• 하나의 장치부속품의 고장을 회복하는 비용은 얼마인가? 

• 완전한 봉사기고장을 회복하는 비용은 얼마인가? 

• 정보가 도난 당하고 도적을 잡지 못했을 때의 회복비용은 얼마인가? 

여 러 준위의 손상을 회복하는데 소모되는 비용과 손상이 나 공격 이 얼마나 자주 일 
어 나는가 하는것 에 의하여 망의 재 난복구에 서의 금융적충격 을 결 정하는 척 도를 엄 을 
수 있 다. 

이와 갈은 내용들에 기초하여 자원을 안전하게 하기 위해서는 마땅히 얼마나 소비 
해야 하겠는가를 알수 있을것이다. 어떤 자산(평판이나 소비자와 투자가의 신뢰 등)은 
량적 으로 취 급하기 어 려우나 그래 도 현실 적 이 라는것 을 알아야 한다. 
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어떻게 망자원들 효과적으로 보호할수 있는가 

망환경이 어떤 보호수준에서 얼마만한 비용의 보안이 필요할것인가를 고려하여야 
한다. 

실례 로 원격접근이 없는 5명의 사용자구조로 된 회 사에서 한사람의 일감으로 보안전 
문가를 채용하는것은 아마 지나친 일일것 이 다. 마찬가지로 은행 이 보안방책에 대한 고려 
없 이 외 부망접 근을 허 용한다는것 도 역 시 생 각할수 없 는 일 이 다. 

아마도 대 부분은 우의 두 실 례사이 의 어 떤 곳에 떨 어 질것이 므로 좀더 어 려 운 보안 
선택문제 를 대 상해 보자. 

파케 트려과가 인터네 트접 속을 보호하는데 충분한가? 아니 면 방화벽 에 투자해 야 
하는가? 하나의 방화벽 이면 충분한가，아니 면 두개 에 투자해 야 할것 인가? 이 것 들은 
매일 보안전문가들에게 제기되는 결정문제의 일부이다. 


일러두기 

일반적 인 지 침은 특정의 자산을 보호하기 위한 모든 보안대 책들의 비 용은 재 난으로 
부터 그 자산을 회복하는 비용보다 적어야 한다는것이다. 

이것은 잠재적위협들과 함께 회복비용을 정량화하는것이 중요하다는 리유로 된다. 
현대적 인 망환경에서 보안예방조치가 필요하지만 많은 사람들은 이 예방조치에 소 
비되는 비용의 정 당성을 증명할것을 요구한다. 


비 용을 증명하는것은 그리 어 렵지 않을수 있다. 실례 로 우리 는 앞에서 봉사기 의 하 
루정지가 14000딸라이상의 비용을 손실 본다는것을 보았다. 명백히 이것은 RAID 묶음을 
가지는 완전한 고성능의 봉사기 에 투자하기 에 충분한 비용증명 으로 된다. 

환경 을 안전 하게 하기 위한 비 용들 이 잠겨 져 있 을수 있는데 이 비 용들도 계 산되 여 
야 한다. 

실례 로 손상을 감시 하기 위하여 모든 망활동을 기록해 두는것은 누군가가 시 간을 들 
여 이 모든 기록들을 뒤져 보지 않는다면 필요가 없다. 이것은 환경의 크기에 따라 그 
자체로서 한 사람의 옹근일감이 될수도 있다. 망에 대하여 보다 세부적으로 기록하자면 
새로운 보안일군이 필요하게 될수도 있다. 

또한 보안이 강화되 면 망자원을 리용 또는 접 근하는데서 말단사용자에 게 귀 찮고 
시간을 소비하는 일들이 생기게 된다. 이것은 이러한 리용의 복잡성을 피해야 한다는 
것 을 의 미하지 않는다. 그것 은 환경 을 안전하게 하기 위하여 필 요한 일 일 수 있 으며 
잃어 진 생산성에서의 잠재적인 비용으로 보아야 한다. 

요약해 보면 보안조치를 위하여 자금을 요구하기에 앞서 이러한 조치들을 취하지 
않았을 때의 상태를 설명하여야 한다. 또한 이러한 예방조치의 진짜비용이 무엇인가를 
정확히 식별하여 야 한다. 
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내가 관리자상급에 지배되는가 


품을 들여 자기의 망의 정확한 위험분석을 하였다고 해도 최소수준의 보안요구를 지 
시하는 어떤 형태의 관리자상급기관이 있을수 있다. 이러한 정황에서는 간단히 보안대책 
들에 대한 비용증명만으로는 충분하지 않을수 있다. 회사의 비용지출에 관계없이 어떤 
최소의 보안요구를 지시 할수 있다. 

실례로 어떤 군사적계약과 관련되여 회사는 많은 보안요구를 엄밀히 지켜야 한다. 
대표적으로 결정된 보안조치는 유일하게 접수가능한 보안방법인것이 아니라 허용된 최소 
준위 이다. 


주 의 

정부와 일할 때 많은 계 약자들은 국가보안기관이 평가한 특정의 제품들을 쓰는 콤 
퓨터체계를 리용하도록 지시된다. 


보안요구를 지시 하는 정부적 관리의 다른 실례로는 어 린이 개 인비밀보호운동 ( COPPA ) 
과 건강보험회사 ( HIPAA ) 를 들수 있다. 미국에는 아직 전자상업과 관련한 개 인비밀관련 
법을 가지고 있지 못하지만 다른 나라들(주로 유럽 나라들)은 회사들에 어떤 자료가 수집 
되고 보관될수 있는가를 엄격히 통제하고 있다. 만일 보안이 어떤 형태의 관리기관에 복 
종된다면 위 험분석 에 서 비 용증명부분은 변경 되 여 야 할것 이 다. 

보안실현들 우 I 한 예산안 세우기 

이제는 어느 수준의 보안에 대 하여 거기 에 소비되는 비용이 정 당한가를 증명할수 있 
을것 이 다. 여기 에는 가격 이 눅어 질수 있는 항목들(봉사기하드웨 어，방화벽 등)과 재현 
되 는 비 용들(보안인원，검 사 및 체 계관리 )을 포함시켜 야 한다. 

《 닭알을 모두 한바구니 에 넣 지 마시 오.》라는 옛 말을 상기 하시 오. 이 말을 보안예 
산을 세 우는데 적 용할수 있 다. 예 산을 한가지 보호방식 에 다 소비하지 말아야 한다. 

실례 로 만일 어 떤 사람이 쉽 게 정 문으로 들어 와 기 업봉사기 를 가지 고 가버 릴수 
있 다면 방화벽기 술에 15000딸라를 투자하는것 은 그리 좋은 일 이 못된 다. 


일러두기 

그러나 예산지출을 기관안의 다른 집단들과 결합하는것이 가능할수 있다. 실례로 
망하드웨어와 봉사기에 대한 안전하고 통제되는 환경의 비용증명을 하기 어렵다면 
그 망에 PBX , 음성우편, 전자설비 등을 다넣고 비용증명을 할수 있을것이다. 


또 한가지 실례는 이 장의 앞에서 본 기술봉사기문제이다. 기사들은 항상 추가적인 
봉사기 억공간을 요구한다. 봉사기기억을 새로 갱 신할 때 여분의 디스크체 계를 받아 들 
이 고 기 술부서에 로 가는 비 용의 일 부를 첨구할수 있 을것 이 다. 

보안예 산을 세 우는데서 어 떤 회 사들은 보안보험 을 새 롭게 추가한다. 얼 핏 보면 별 난 
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일 갈지만 대부분의 IT 전문가들은 그 자료들의 가치와 이러한 예방조치의 필요성을 쉽게 
리해할수 있 다. 

최종결과는 창조적이여야 한다. 보안예산을 더 늘여야 보다 많은 보안조치를 취할수 
있 다. 

보안은 혁 신적 인 지출이라고 말할수 있다. 그 의미는 망이 피해를 본후에 더 많은 
돈을 소비하지 않고 투자에 대 한 결과를 실 현 할수 있 다는 희 망을 가지 고 보안에 돈을 투 
자한다는데 있 다. 보다 많은 예 방조치 를 취할수록 재 난의 가능성 은 더 적 을것 이 다. 

자료들들 문서로 만들기 

이제는 자기의 모든 자산들을 알게 되였고 매일매일의 사업에서 그것들의 가치를 분 
석하였으며 매 개의 회복비용을 평 가하였다. 이제 시 간을 좀 들여서 엄은 자료들을 형식 
화하고 문서 로 만들자. 이 일 이 필 요한것 이 라는 리유는 많이 들수 있 다. 

우선 이 러한 문서들을 가지고 있으면(전자적 이든 하드복사든) 매 개 보안대책 에 대 
한 론증을 시작할 때 도움이 된다. 

문서 화된 수자들과 그림 들을 가지 고 론의하는것 은 말로 론의하는것 보다 훨씬 더 
어렵다. 

모든 자료들을 앞에 한줄로 세워 놓음으로써 후에 피해처리를 할 가능성이 더 적 
어 지게 될것이다. 

이 문서는 후에 시간이 흐름에 따라 조절될것을 고려하여 류동적이여야 한다. 

침입이나 고장의 비용을 평가할 때 100% 정확한것은 없다. 만일 정확도문제에서 운 
수가 나쁜 사람이 라면 문서 들을 개 선하고 갱 신할 기 회 들을 고려하여 야 한다. 

망환경도 시간에 따라 변화된다. 

회 사의 사장이 사무실에 들어 와서 《새 로운 현장사무실을 하나 설치해 야 하는데 
어떤 설비 가 필요하고 얼마만한 비용이 들겠는가?》라고 말한다면 어떤 일 이 생 길것 
인 가? 현재 의 비 용들을 보여 주는 형 식화된 문서 를 가지 고 있 으면 쉽 게 이 수자들을 
뽑아 낼 수 있 다. 

이 정보는 보안방책을 형식화할 때에도 매우 유용하다. 많은 사람들은 망보안의 
중요성에 대하여 매우 불충분한 리해를 가지고 있다. 더우기 이것은 누가 예산의 돈 
주머 니끈을 쥐 고 있는가 하는 경 영 상의 문제 들도 포함한다. 

보안방책작성에서 침입이나 공격에 대하여 화폐값을 대치시키면 항목들을 증명하기 
가 한결 쉽게 된다. 

실례로 회사의 사장은 자기 정보의 손실이 자기의 봉급과 맞먹는 비용손실을 준다는 
것 을 깨 닫기전에 는 모든 내 부자료를 암호화할 필 요성 을 알지 못할수도 있 다. 
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보안방책들 세우기 


대부분의 관리자들이 묻는 첫 질문은《왜 형식화된 보안방책이 필요한가?》하는것 
이 다. 보안방책은 많은 기능을 수행한다. 

그것은 허용가능한 망활동과 잘못 사용하였을 때의 처벌내용을 상세히 서술한 기본 
문서 이 다. 

보안방책은 또한 전체로서의 기관에 보안목표와 대상을 지적하고 명백히 하기 위한 
연단을 제공한다. 

좋은 보안방책은 매개 종업원에게 안전한 환경을 유지하는데 어떤 책임이 있는가를 
보여 준다. 


주 의 

보안방책의 한 실례로 부록 2를 보시오. 


보안방책의 기초 

보안방책 은 흔히 문제 가 제 기 되 여 야 관심 하게 된 다. 

개 별적 인 문제 에 집 중하는것 이 매 개 점 을 식 별하는 가장 쉬 운 방법 이 다. 어 떤 
환경에서는 간단히 《사업과 관계 없는 인터네트사용은 나쁘다.》라고 말하는것이 허 
용되지만 이 방책을 따라야 하는 사람들은《사업과 관계 없는 사용》과《나쁘다》 
라는 말이 실제 로 무엇 을 의 미하는지 알 필요가 있다. 

보안방책 이 집행되 려면 다음과 같은것 이 필요하다. 

• 기 업의 다른 방책 들과 일 치하는것 

• 망지원부서와 적 당한 관리수준에 허용되는것 

• 현존망설 비 와 프로그람들을 리용하여 집 행 가능한것 

• 지역 및 국가，련방법들에 맞는것 

일치성이 열쇠이다 

일 치성은 사용자들이 그 방책을 불합리한것으로 보지 않도록 담보한다. 보안방책의 
전체 적 인 주제 는 보안에 대 한 기 관의 견해 를 반영하여 야 하며 일 반적 으로 접 수할수 있는 
기 업의 실천이 여야 한다. 만일 회 사가 물리 적보안 또는 회 사자산의 리용에 대 하여 매우 
완만한 태도를 가지 고 있다면 엄격한 망리용방책 을 집 행하는것은 어 렵거 나 무의 미할수 
있 다. 

실례 로 어떤 회 사의 소유자는 망에 대 한 모든 원격접속은 가능한 가장 긴 암호열쇠 
를 리용하여 암호화되 여 야 한다고 주장하였 다. 원격사용자들은 서 로 다른 가입이 름과 통 
과암호를 가져 야 하고 이 구좌들에는 최 소접 근량만이 제 공되 였 다. 또한 특수한 필 요성 을 
증명하지 않는한 원격접 속은 금지되 였 다. 

이 것은 그다지 억지공사 같지 는 않지 만 이 망이 들어 있는 시설은 세 자리코드를 가 
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지는 하나의 암호자물쇠만에 의하여 보호되였다. 그 시설은 경보체계를 가지고 있지 않 
았고 도난 당해도 모를 위치에 있었다. 암호열쇠를 위한 문자조합은 7년이상이나 변경되 
지 않았다. 또한 종업원들은 이 문자조합을 필요하다고 하는 아무에게나 주군 하였다. 

이 것 까지 도 그리 나쁘지 않았지만 내 부구좌에 대 해서 는 통과암호요구조차 없 었 다. 
많은 사용자들 (소유자도 포함하여 )이 자기 의 구좌에 배 당된 통과암호를 가지 고 있 지 않 
았다. 두개 의 봉사기 가 있 었는데 쉽 게 접 근할수 있는 위 치 에 있 었 다. 

이 회 사는 원격접 근보안에 관해서 는 아마 정 당하였을수 있으나 취 해 진 대 책들 
은 회 사의 다른 보안방책 과 비 교할 때 에는 모순되 는것이 였다. 원격접근보다 더 높은 
우선권을 가져 야 하는 다른 문제 들도 있 었다. 이 소유자는 원격접 근방책 이 회 사의 
다른 보안문제 들과 일 치하지 않기때 문에 그것 을 집 행 하기 어 렵 다고 생 각했 던 모양이 
였다. 종업원들이 그 시설에 대한 물리적접근은 중요시하지 않는다는것을 알고 있는 
데 인 터네 트접 속이 왜 달라야 하겠는가? 

기관안에서의 허용 

보안방책 이 집 행 되 자면 기 관안에서 의 일정한 권위 자들이 접수할수 있어 야 한다. 만 
일 경영자측이 방책이 제공하는 리익을 알지 못하고 인정하지 않는다면 그 보안방책을 
집 행하는것 은 실패할수 있 다. 

경 영 자측의 허 가가 없을 때 무슨 일 이 발생할것 인가에 대 한 한가지 좋은 실례는 
란달 슈와르프 (Perl 프로그람언어의 기본창시자)와 인텔회사간의 법적 소송사건이다. 
그는 인텔회 사를 위하여 개 인청 부로 일 하고 있 었는데 인텔의 보안방책 에 따라 보지 
말아야 할 정보에 접근한것으로 하여 고소되였다. 

인텔은 이 사건에 서 이 겼지만 이 법 적사건은 슈와르쯔에 게 유죄 판결을 내 리 는데 
리용하려던 보안방책 이 인텔의 정 식종업 원들에 게 도 적 용되 지 않았다는것 이 밝혀 짐 으로 
써 크게 약화되 였 다. 재 판에 서 증명되 였지 만 인텔의 부리 사장이 며 총지 배 인은 인텔의 
보안방책을 따르지 않아도 되도록 허가되였던것이다. 

사건을 더 애 매하게 한것 은 그가 그 방책 에 따르지 않고 오유를 범한데 대 하여 인 텔 
이 그를 문책하지 않은것 이 다. 

이것 은 인텔의 보안방책 이 류동적이며 슈와르쯔는 죄없이 선택되 였 다는 인상을 남 
겼 다. 

기 관의 보안방책 은 경 영 자측의 모든 준위 에 서 접 수되 고 집 행 되 여 야 한다. 성 과적으 
로 집행되려면 이 방책은 모든 망사용자들에게 동일하게 적용되여야 한다. 

집행 가능성 

보안방책이 좋은 방책이 되려면 집행가능하여야 한다. 《매개 망사용자는 자기의 통 
과암호를 90일 에 한번씩 바꾸어 야 한다.》라고 하는것 은 망조작체 계 가 기 간완료되지 않 
고 이 90일한계를 초과한 구좌를 차단한다면 효과가 적을것 이 다. 

집행될수 없는 방책들을 법적으로 만들수는 있지만 실천적으로 그렇게 하는것은 현 
명한 선택 이 못된다. 사용자들이 기 업의 방책 을 무시해도 확인이 없으므로 일 없다는 인 
상을 가지는것을 원하지 않을것 이 다. 만일 확인이 없다면 불복종에 대한 후과도 없다. 
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일러두기 


하나의 망리용방책에 불복종하는것은 빨리 도미노효과를 일으켜 모든 망리용방책들 
을 무시하게 할수 있다. 처음으로 망리용방책을 세울 때에는 그 리용을 100% 확인 
할 필요가 없으나 방책을 집행하는것이 문제거리가 되지는 않는가 하는것을 어떤 
방법으로 감시 또는 보고되게 하여 야 한다. 


때로는 특정한 방책의 모든 측면을 적극적으로 감시하는것도 충분하지 못할 때가 있 
다. 적당한 방법으로 이러한 론쟁점들을 퍼뜨릴수 있다. 실례로 보안방책은 보통 회사고 
유인것으로 고찰된다. 

그러나 회사의 밖에 있는 사람들에게 영향을 미치는 방책항목이 있을수 있다. 이 항 
목들욘 그것들이 집 행 가능한것으로 되도록 담보하기 위 하여서는 공개되 여 야 한다. 

인터네트상에서 돌아 가는 한가지 이야기가 있는데 (그것은 사실일수도 있고 아닐수 
도 있다.) 그것은 한 회사가 자기의 체계를 파피한 원격공격자를 어떻게 감시，추적하여 
찾아 냈는가를 서술하고 있다. 

이야기에서는 경찰이 혐의자를 체포하여 기소된 자가 법정에 나서게 되였다. 재판 
에서 기소된 자는 문제의 망자원에 접근하였음을 인정하였다. 그의 진술에 의하면 그 
는 자기가 나쁜 짓을 하고 있다는 생각을 하지 않았다는것이다. 

왜 냐하면 그 자원에 접 근하자 곧《 환영 합니 다.》 ( Welcome ) 라는 화면 이 나타났기 때 
문이였다. 

변 호에 서 는 그가 이 자원 에 접 근하지 말아야 한다는것 을 결 정하는것 이 그의 능력밖 
의것이라는것이 주장되였다. 또한 피고인의 변호사는 땅소유자가 다른 사람이 그 땅에 
들어 오지 않도록 공시 를 내 보일것 을 요구하는 지 방법 을 상기해 내 였 다. 

재 판관은 고급한 를퓨터범 죄 보다는 지 방법 에 관련시 키 는것 이 더 쉽 다고 보고 변호측 
의 주장을 받아 들여 혐의자를 석 방하였다. 

망보안방책은 적 당히 공개되 여 야 한다. 이 방책들을 서술하는데서 가입규약과 말 
단통보문과 같은 명 백한것 들을 놓치 지 말아야 한다. 

지역 및 국가법，련방법과의 일치 

보안방책 들을 실현하기 에 앞서 법전문가들의 검 열을 받아야 한다. 어떤 방책항목의 
부분이 비 법적 이라고 판단되면 그 항목(또는 그 방책 자체)은 폐기될수 있다. 

실례 로 《위 반하는 사람은 태형 에 처 한다.》는 방책은 태형 이 비 법화되 여 있으므로 
법 에 의하여 금지 될 것 이 다. 침 해 당한 사람은 망을 손상시 킨 공격 자를 때 려 주고 싶겠지 
만 이 러한 불법적 인 앙갚음으로 하여 그는 상환청구의 모든 기회를 버리는것으로 될수 
있 다. 

이 에 대 하여서는 정 당하게 표현하는것 이 중요하다. 모든 방책들을 세심 하고 정 확하 
게 법적 술어 로 쓰는것 이 좋다. 

법적 인 검 토는 매 방책항목들의 효과를 리해하는데서 도움이 된다. 상세한 표현을 
쓰지 않으면 좋은 의도의 방책도 부정적 인 효과를 가져 올수 있다. 

최근의 한 법정사건에서 한 종업원이 작업중에 색정싸이트를 우연히 본것으로 하여 
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17 만 5000딸라를 번 일 이 있었다. 어떻 게 그는 자기의 고용주가 책 임을 지도록 하였는 
가? 그 수상한 싸이트가 회 사소유의 Web 봉사기 에 위 치 하고 있 었는가? 

그 대 답은 독자들을 놀라게 할것 이 다. 회 사는《 색 정 싸이트들은 차단되 며 회 사의 
망에 접 근될수 없 다.》라는 기 업 방책 을 가지 고 있 었 다. 회 사는 수상하다고 인정 되 는 싸 
이 트들에 로의 접 근을 려 과하고 있 었 다. 그런데 인터네 트상에 《수상한》싸이 트들이 너 
무 많아서 그것들을 모두 막을 방도가 없었다. 

법정에서는 회사가 이른바 수상한 싸이트들을 모두 차단함으로써 계약을 끝까지 유 
지하지 않았기때문에 계약자의 위반에 대하여 책 임져야 한다고 판결하였다. 

이 싸이트들을 려과한다는 방책 을 제 정 함으로써 회 사는 《 이 활동의 성 과적 수행 
을 위한 책임을 접수》하고 있었으며 이로 하여 책임을 지게 되였다. 

그 종업원의 《고용》에 대한 배상금은 이러한 《발견》에 기초하고 있었다. 

이 방책항목은 어떻 게 썼어 야 하였는가? 다음의 서술을 고찰하여 보자. 

《종업원의 직 업상 책 임을 수행하는것과 다른 목적으로 회사소유의 자산을 가지고 
인 터네 트싸이 트에 접 근하는것 은 해 고의 리 유로 간주된 다. 회 사는 이 에 대 한 순응을 담보 
하기 위하여 모든 종업 원들의 망활동을 감시 하고 려 과할 권리 를 가지 고 있다.》 

이 서술은 불필요한 싸이트들을 금지 함으로써 갈은 방책을 실행한다. 여기서는 여 러 
가지로 해석될수 있는《수상한》이라는 단어를 없애 버렸으며 종업원의 직업과 관계 없 
는 모든 Web 싸이트접근을 금지하고 있다. 또한 복종의 책임을 고용주가 아니라 종업원 
에게 지우고 있으며 회사에는 이 싸이트들을 려과하는것을 허용하고 있다. 


일러두기 

적 당한 표현은 세 계안의 모든 차이 를 좋은 보안방책 과 나쁜 보안방책 사이 에 있게 
할수 있다. 


를릉한 보안방책들 세우려면 무엇이 필요한가 

좋은 보안리용방책은 최소한 다음과 같아야 한다. 

• 기관의 모든 성원들에게 쉽게 접수될수 있어 야 한다. 

• 보안목적들은 명백 히 모임을 정의하여 야 한다. 

• 방책 에 서 론의 된 매 항목을 정 확히 정 의하여 야 한다. 

• 매 항목에서 기관의 위치를 명백히 보여 주어야 한다. 

• 매 항목을 고려 하는 방책 의 정 당성 을 증명 하게 끔 서 술하여 야 한다. 

• 서술된 항목과 관련하여 종업원들의 역할과 책임을 서술하여야 한다. 

• 서술된 방책 에 복종하지 않았을 때의 결과를 씨 야 한다. 

• 서 술된 항목과 관련 하여 세 부 또는 명 백 성 을 위한 접 촉정 보를 제 공하여 야 
한다. 

• 사용자가 바라는 개 인 비 밀 수준을 정 의 하여 야 한다. 

• 특별히 정의 되지 않은 문제 들에 대 한 기 관의 립장을 포함시 켜 야 한다. 
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접근가능성 

보안방책을 대중적 인것으로 되게 하는것은 그 효과성에서 기본으로 된다. 앞에서 언 
급하였지만 가입등록과 말단통보문이 좋은 시작으로 된다. 

만일 종업원수첩을 가지고 있다면 보안방책을 이 문서와 결합시키는것을 생각할수 
있 다. 

또한 기관이 자기의 인트라네트 Web 싸이트를 가지고 있다면 이 문서들을 그 싸이트 
에 첨가할수 있다. 

보안목적들을 정의하기 

간단한것 같지만 기관에서 보안이 왜 중요한가를 정의하는 목적을 명백 히 서술하는 
것은 매우 유익하다. 

목적을 잘 서술하여야 방책항목들이 하찮거나 불필요하다고 생각하지 않을수 있다. 
표준이 나 지 침들을 제정할 때 에는 그것 이 제공하는 유리한 점을 사람들이 리해하도 
록 하여 야 한다. 


일러두기 

부록 2에 보안방책의 한 실례가 있다. 독자들이 보안방책을 만들 때 이것을 안내서 
로 리용할수 있다. 


매 항목을 정의하기 

매 방책항목을 서술할 때 최대 한 명 백 하고 정 확하여 야 한다. 모든 표현과 술어들이 
될수록 정 확하여 야 한다. 

실례 로 일반적 인 인터네트접 근에 의존하지 말고 그 항목을 처 리하는 특정의 봉사(전 
자우편，파일전송 등)들을 알아야 한다. 

만일 방책항목이 후에 집 행 되 여 야 한다면 그 방책 을 정 의하는것 을 뒤 로 미투는것 이 
좋다. 또한 자주 반복되는 일반적 인 서술은 여 러가지로 해석될수 있다. 


일러두기 

회 사가 인 터네 트상에 서 VPN 기 술을 리용한다면 정 확한 서 술이 보다 중요하게 된 다. 
인 터네 트상의 공개호스트와 VPN 접 속의 다른 끝에 위 치 한 호스트사이 의 차이 를 정 
확히 정 의하여 야 한다. 


기관의 위치 

방책항목에 대한 기관의 견해를 표현할 때 명백하고 간결한 술어를 씨야 한다. 실례 
로《접수할수 없는》과 갈은 형용사는 많은 모호한 점들을 가지 고 있다. 

어떤 종업원의 행동이 《접수할수 없는》것일수 있지만 반드시 어떤 방책에 대한 위 
반으로 되는것은 아니 다. 

방책을 서술할 때 명백하고 간결한 의미를 가지는 단어들을 골라 써야 한다. 
부정적인 실례로서 《위반》，《계약어김》，《범죄》，《악용》등을 들수 있다. 공 
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정적인 실례로는《허용할수 있는》, 《합법적인》，《허가된》, 《권한을 가진》등 이 
다. 모호한 술어들을 피함으로써 방책의 의미와 불복종의 결과가 명백해 지고 집행가능 
하다는것을 확신할수 있다. 

방책의 정당성을 증명하기 

이것은 망사용자들에게 방책의 매 점이 왜 중요한가를 보여 주는것이다. 실례로 
《전자우편은 보안되지 않는 매체로 간주되므로 회사의 내부정보를 다루는데 그것을 
리용하는것은 허용되지 않는다.》라는 서술은 방책항목과 그 증명을 동시에 말하는것 
으로 된다. 

그 항목이 언제 적용되는가? 

어떤 환경에서 그 방책이 유효한것으로 적용되는가를 명백히 하여야 한다. 그 방책 
이 모든 사용자들에게 동일하게 영향을 주는가，아니면 어떤 일정한 성원들에게만 영향 
을 미치는가，근무시간이후에도 유효한가，기본 사무실에만 영향을 주는가，아니면 현장 
사무실에도 적용되는가? 

방책이 어떻게 적용되는가를 명백히 설정할 때 그것이 가져 올수 있는 충격도 명백 
히 하여 야 한다. 

이것은 이 방책이 누구에게 적용되는가에 대한 불확실성이 없다는것을 담보한다. 어 
떤 종업원이 그 방책을 자기를 제외한 모두에게 적용되여야 한다고 가정할수 없게 하여 
야 한다. 


역할과 책임 

사슬은 그것의 가장 약한 고리만큼만 강하다. 그러므로 모든 성원들이 보안에 대하 
여 책임이 있다는것을 명백히 하여야 한다. 

보안은 어떤 특정한 사람만이 수행하여 야 할 일감의 한부분인것 이 아니 라 전체의 관 
심사이 다. 

누가 보안방책을 집행하는데 책임이 있으며 이 사람에게 기관으로부터 어떤 권한이 
부여되였는가를 명백히 하여야 한다. 

불복종의 결과 

한 종업원이 어떤 보안방책항목을 지키는데서 실수를 하였거나 또는 무시해 버렸 
다면 어떻게 될것인가? 기관은 이에 곧 반응하여 대책을 취해야 한다. 

방책에는 불복종에 대한 가능한 처벌내용이 서술되여 있어야 한다. 

이 서술은 법적이고 명백히 정의하는것이 중요하다. 《적당한 조치가 취해 질것 
이다.》라고 하는것은 미 칠수 있는 영향의 엄중성을 서술하지 못한다. 

방책을 서술하는 사람들이 적당한 처벌내용을 찾을수 없다면 많은 경우 처벌은 효과 
적인것으로 되지 못한다. 그러나 처벌의 엄중성은 기관이 그 항목을 얼마나 중요하게 보 
는가를 표현하므로 적당한 처벌을 배당하는것이 매우 중요하다. 

실례로 쓸데 없이 전자우편을 보내는것은 문책의 기초로 간주될수 있으며 가정용를 
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퓨터 의 가장 좋은 가격 을 찾기 위하여 Web 를 돌아 다니 는것 은 말로 하는 경 고만을 받을 
뿐이 다. 

불복종의 결과를 서술할 때 기관이 어떤 행동을 취할것인가를 구체화하여야 한다. 

보다 많은 정보를 위하여 

어떤 특정 항목의 있을수 있는 모든 측면들을 명백히 정의하는 방책을 형식화하는것 
은 어렵다. 그러므로 보충적 인 정보들을 제공하는데 책임 있는 자원을 확인하여야 한다. 

개인의 책임은 변할수 있으므로 이 자원을 이름으로가 아니라 직업기능으로 확인하 
여 야 한다. 

《모든 질문은 XX 에게 발송하라.》라고 쓰는것보다는《보다 많은 정보를 얻으러면 
관리 인과 상담하시 오.》또는《 이 문제 와 관련한 모든 질문은 망보안관리자에 게 직 접 
하시 오.》라고 쓰는것 이 더 좋다. 

개인비밀보호의 수준 

개인비밀보호문제는 항상 중요한 문제로 제기된다. 

기관의 자원으로 보관된 정보에 관하여 개인비밀에 대한 관점을 명백히 서술하여야 
한다. 

만일 회사가 보관된 정보의 모든 소유권을 명백히 주장하지 않는다면 이 정보는 종 
업원의 재산으로 해석될수 있다. 

회사의 내부정보는 비밀이라고 가정하지 말아야 한다. 여러해전에 널리 공개된 
한 사건을 실례로 보자. 한 고급경영자가 자기직업을 버 리고 기본경쟁자에게로 넘어 
갔었 다. 

이 사람이 비밀정보들을 가지고 간것으로 의심하여 회사는 그의 모든 전자우편통 
보문들을 모아서 검열하여 보았다. 그들은 회사가 자기의 경영우세를 유지하는데서 사 
활적 이 라고 보는 정보들을 그가 가져 갔다는 증거를 발견하였다. 

그러나 이 사건을 법정으로 가져 갔을 때 전자우편은 증거로 간주될수 없게 되였다. 

그것은 전자우편을 회사소유의 자원으로 보는 명백한 방책이 없었기때문이였다. 

피고측은 전자우편은 일반우편과 같은것이고 개인비밀의 같은 수준을 가지고 있다고 
주장하였다. 

재판관은 법정의 승인없이 개인의 우편함를 열수 없다는것을 잘 알고 있었다. 

피고측은 이 런 정황에서 회사는 우편국과 같은 방책을 지켜야 한다고 주장하였다. 
결국 전자우편은 증거로 될수 없다고 선포되였으며 회사는 증거가 없는것으로 하여 사건 
에서 패 하고 말았다. 

이 이야기의 교훈은 망자원의 소유권을 주장하는것 그리고 서술된 보안방책을 집행 
하기 위 하여 취 할수 있는 대 책 들을 써 놓는것 이 매 우 중요하다는것 이 다. 

특별히 정의되지 않은 항목들 

방화벽을 실현할 때 망통신량과 관련하여 두가지의 립장이 있을수 있다. 

첫째는 《명백히 허용되지 않는것은 거부한다.》이고 두번째는 《명백히 거부되지 
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않는것은 허용한다.》이다. 첫째것은 보안과 관련하여 엄격한 립장이고 둘째것은 보다 
관대한 립장이다. 

이 같은 원리들을 망에 적용한다. 명백히 정의되지 않은 문제들에 대하여 엄격한 또 
는 열린방책을 설계 할수 있다. 

이것은 보안방책에서 특별히 정의되지 않은 항목이 제기될 때 후뢰할 자리를 제공한 
다. 분명 어떤것은 잊고 언급하지 못할수 있으므로 이것은 좋은 생각이라고 볼수 있다. 

보안방책에서 표면적으로 취급되지 않은 항목들에 대한 기관의 립장을 보여 주는 서 
술이 있어야 한다. 어느 방법이 보다 적당한가는 만들려고 하는 보안방책 이 얼마나 엄 
격한가에 달려 있다. 그러나 대표적으로 보안에 대하여 엄격한 자세로 시작하고 필요가 
제기될 때 추가적인 방책들을 보충하는것이 보다 쉽다. 

좋은 보안방책의 실례 

좋은 보안방책의 개별적인 점들을 다 보았으므로 이제는 이 점들을 어떻게 묶겠는가 
를 보여 주는 구체적인 실례를 고찰하자. 부록 2에는 더 많은 실례들이 있다. 

다음의 것 은 방책 서 술초록의 한 실 례 이 다. 

인터네트 Web 봉사기자원에로의 접근은 직업관련과제수행의 명백한 목적에 대하여서 
만 허용된다. 

이 방책 은 망자원의 효과적 인 리용을 담보하기 위한것 이 며 모든 종업 원에 게 동등 
하게 적 용된다. 이 방책 은 생 산 및 비생 산기 간동안에 집 행 된다. 

모든 Web 봉사기접근은 망담당자에 의하여 감시될수 있으며 종업원들은 자기의 직속 
상급에게 Web 봉사기접근의 리유를 밝혀야 한다. 이 방책에 응하지 않으면 서면으로 경 
고문이 배 포될 것 이 다. 인터네 트자원의 Web 봉사기 접 근허 가와 관련한 보충적 인 정 보를 위 
해서는 자기의 직속상급과 상담하시오. 

이 제 이 서 술이 우리 가 론의하는것 을 다 포함하고 있는가를 보기 로 하자. 

배개 항목의 정의 이 방책은 인터네트 Web 봉사기자원에 대한 접근을 취급한다. 
이 서 술은 그것 이 속하는 항목을 정 확히 정 의한다. 

기관의 위치 이 서술은 인터네 트접 근이 《직 업관련과제수행 을 위한 명백한 
목적을 위해서만 허용된다.》고 선언하고 있다. 기관의 립장은 명 
백하다. Web 검 색 은 직 업관련활동을 수행 하기 위 해서 만 허 용된다. 

방책의 증명 인터네 트접 근의 제 한을 증명 하기 위하여 방책 에서는 《 이 방책 
은 망자원의 효과적 인 리용을 담보하기 위한것 이 다.》라고 서 술하고 
있다. 이 표현은 명 백 하고 적 당하다. 기 관은 직 업관련사업만으로 인 터 
네 트리용을 제 한함으로써 인 터네 트통신 량을 최 소화하려 고 하고 있다. 

01 항목01 언제 적용되 ' eD ᅡ? 이 방책은 인터네트접근제한이 《모든 종업원에게 
동일하게 적용되며 생산 및 비생산기간에도 집행된다.》고 규정하고 있 
다. 이것은 이 방책이 모든 시간 유효하며 모든 종업원들이 그 지침에 복 
종해 야 한다는것을 밝히고 있다. 
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역할과 책임이 방책은 망담당자가 적당한 Web 봉사기접근을 감시할 책임을 
지고 있다는것을 서술하고 있으며 《종업원들은 자기의 직속상급에게 
Web 봉사기 접 근의 리 유를 밝히 도록 하여 야 한다.》는것을 보충하고 있 다. 
이것은 매 종업 원들에 게 인터네 트 Web 봉사기 접 근을 증명할것을 요구한다. 
그것은 또한 상관들이 이 증명을 인정한데 대한 책임이 있다는것을 보여 
준다. 또한 하급이 인 터네 트 Web 봉사기 로 접 근할 때 자기 의 상급에 게 알 
려 야 한다는것 을 가정한다. 

불복종의 결과 이 방책은 다음과 같이 규정하고 있다. 《 이 방책에 응하지 않 
으면 서면으로 경 고문이 발송될것 이 다.》라는 짧고 친절하면서도 적당한 
이 문장은 만일 종업 원 이 보안방책 을 위 반한다면 무슨 일 이 생길 것 인가 
를 보여 준다. 

보다 상세한것을 위한 접촉정보 마지막으로 이 방책은 다음과 같이 지적하고 있 
다. 

《 무엇 이 적 당한 인 터네 트자원의 Web 봉사기접 근으로 간주되 는가에 대 한 
보다 많은 정 보를 얻 기 위 하여서 는 자기의 직속상급과 상담하시 오.》라는 
이 방책은 어떤 정보가 준비되여 있고 어디서 그것을 엄을수 있는가를 알 
리고 있다(이 방책은 여기서 상관의 대답 또는 어디서 그것을 얻을것인가 
를 알고 있 다고 가정한다. ) . 

개인비밀의 수준 개인비밀문제는 이 실례에서 간단히 언급되지만 직선적으로 지 
적 하고 있 다. 《 Web 봉사기접 근은 망담당자에 의하여 감시 될수 있 다.》 
이것은 사용자가 인터네트 Web 봉사기로 접근할 때 개인비밀보호를 기대할 
수 없 다는것 을 암시한다. 

그러나 이 서술은 감시의 수준을 정의하지 않고 있다. 실례로 그것은 망담당자가 봉 
사기 들， URL 들 또는 실제 적 인 폐지내 용을 검 열할것 인가를 규정하지 않고 있다. 이 경우 
에 구체성이 부족한것은 결함으로 보지 말아야 한다. 

왜 냐하면 그것 은 망관리 자에 게 조사의 수준에서 일정한 유연성 을 허 락하기 때 문이 다. 

요 약 

이제는 자기의 환경이 요구하는 보안수준을 어떻게 평가할것인가에 대한 확고한 리 
해를 가져야 한다. 또한 어느 자원을 보호해야 하며 기관안에서 그것들의 고유한 가치는 
어 떠 한가를 알아야 한다. 이 위 험분석 은 이 책 에서 론의 되 는 매 개 보안조치 에 대 하여 기 
초로 된다. 

또한 효과적인 보안방책을 어떻게 서술할것인가를 알게 되였다. 

다음장에서는 체계가 어떻게 통신하는가를 보기로 한다. 많은 보안침해자들은 통신 
규칙들을 악용하므로 망정보가 어떻게 교환되는가를 리해하는것은 이러한 공격에 대처하 
는데서 사활적 인 문제로 된다. 
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제 3 장. 망체계틍신에 대한 리해 


이 장에서는 망에 련결된 체계들사이의 통신을 고찰한다. 여기서는 독자가 망주소배 
당과 갈은 망의 기초를 이미 리해하고 있다고 가정 한다. 이 장에서는 망케블을 따라 무 
엇이 진행되고 있는가 하는데 기본을 두고 고찰한다. 이 지식은 다음의 장들에서 보게 
될 보안개념들을 리해하는데서 결정적인것으로 된다. 

자료프레임의 해부 

자료가 망을 따라 이동할 때 그것은 프레 임 이 라고 하는 배포봉투안에 포장된다. 프 
레 임 은 망의 위 상구조에 따라 다르다. 이 써 네 트프레 임 은 통표고리 형 이 나 AT 프레 임 과는 
다른 정 보를 가지 고 있다. 이써네 트는 현재 까지 가장 널 리 쓰이 는 위 상구조이 므로 여 기 
서는 그것을 상세 히 보기 로 한다. 

이쎄 dl 트프레임 

이써 네 트프레 임 은 정 보를 나르기 위 하여 전송매체 우로 전송되 는 수자식 임 풀스들의 
모임 이 다. 하나의 이써 네 트프레 임 은 64-1518 byte 만한 크기 를 가지며 다음의 4가지 부분 
으로 구성된다. 

• 준비 신호 ( Preamble ) 

• 머리부 ( Header ) 

• 자료 ( Data ) 

• 프레 임검 사렬 ( FCS ) 

준비신호 준비신호는 모든 수신국들에게 《준비하라，전송하겠다》라고 알리는 통 
신임풀스들의 렬이 다. 표준적 으로 준비신호는 8 byte 길 이 를 가진다. 


주 의 

준비신호는 통신과정 의 부분으로 간주되 고 전송되 는 실제 적 인 정 보의 부분은 아니 
므로 보통 프레임의 크기에는 포함되지 않는다. 


머리부 머리부는 항상 누가 그 프레임을 보냈으며 어디로 가고 있는가에 대한 정 
보를 포함한다. 또한 프레 임 의 크기 가 몇바이 트인가 하는 정 보도 포함하는 
데 이것 을 길 이마당이 라고 하며 오유수정 에 리 용된다. 수신국이 길 이마당 
에 지적된것과 크기가 다른 프레 임을 받았다면 송신체계에 새로운 프레 임 
을 보낼 것 을 요구한다. 길 이마당이 리용되 지 않는다면 머 리 부는 그 대 신에 
어떤 형 식의 이써네트프레 임인가를 설명하는 형 식마당을 포함한다. 
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주 의 

머 리부의 크기는 항상 14byte 이 다. 


자료 프레 임 의 자료부는 그 국이 전송하려 는 실제 적 인 자료와 원천 및 목적 지주소 
와 같은 통신규약정보가 포함된다. 이 자료마당은 46-1500byte 크기 이 다. 만 
일 국이 1500byte 보다 큰 정 보를 가지 고 있 다면 전송을 위 하여 그 정 보를 
여러개의 프레임으로 분할하고 순서번호를 리용하여 적당한 순서를 정한다. 
순서번 호는 목적 지 체 계 가 그 자료를 재조립하는 순서 를 준다. 이 순서정 보 
도 프레 임의 자료부에 보관된다. 프레 임 이 46byte 만한 정보를 가지 고 있지 
못하다면 뒤에 1을 채워 넣는다. 프레임형식에 따라 이 부분은 체계가 어 
떤 통신규약 또는 통신방법 을 리용하고 있는가에 대 한 추가적 인 정 보를 포 
함할수 있다. 

프레임검사렬 (FCS) 프레 임검 사렬은 수신된 자료가 실제 로 전송된 자료라는것 을 담 
보하는데 리 용된 다. 전송체 계 는 순환여유검 사 또는 CRC 라고 하는 알고리 듬 
을 통하여 그 프레 임 의 FCS 부분을 처 리한다. 이 CRC 는 우의 마당의 값을 
취하여 4byte 수를 만든다. 목적지체계가 그 프레임을 수신할 때 같은 CRC 로 
계산하고 그것이 이 마당안의 값과 같은가를 비교한다. 목적지체계가 불일치 
를 발견하면 전송과정에 그 프레임에 오유가 생겼다고 인정하고 그 프레임을 
다시 보낼것을 송신체계 에 요구한다. 


주 의 

FCS 의 크기는 항상 4byte 이 다. 


프레임머리부 

이써네트프레임의 머리부에 대하여 더 상세히 고찰하자. 머리부정보는 누가 그 정보 
를 보냈고 어디로 보내는가를 식별하는데서 매우 중요한 책임을 지고 있다. 

머 리부는 전송의 원천지 와 목적 지 를 식 별 하기 위한 두개 의 마당을 가지 고 있 다. 이 
것들은 원천체계와 목적체계의 마디점주소들이다. 이 수값을 매체접근조종 (MAC) 주소라 
고도 부론다. 마디점 주소는 망장치 들 (망기 판 또는 망하드웨 어 ) 을 식 별하는데 리용되 는 
유일한 주소이며 세계적으로 그것을 다른 망장치와 구별하는 유일한 식별자이다. 

두 망장치는 결코 같은 번호로 지정될수 없다. 이것을 전화번호와 같이 생각할수 
있다. 전화를 가진 매 집 에 는 유일한 전화번호가 있어서 어 느 번호를 호출하면 누가 나 
온다는것을 아는것과 마찬가지 로 목적지체 계의 MAC 주소를 리용하여 프레 임 을 보내게 
된 다. 


주 의 

MAC 주소는 애풀회사의 콤퓨터와 관련해서는 아무 의미도 가지지 않으며 모두 대문 
자로 표시한다. 
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이 6byte, 12자리 16진수는 두 부분으로 나누어 볼수 있다. 주소의 첫 절 반부분은 
제 작자의 식별자이 다. 제 작자에게 MAC 주소의 한 부분이 배 당되여 자기의 제품들을 식 
별 하는데 리용한다. 중요한 몇 가지 MAC 주소의 부분을 표 3-1 에 보여 준다. 


표 3-1 MAC 주소들 


MAC 주소의 첫 3b： :e 

제 작자 

oooooc 

Cisco 

0000A2 

Bay Networks 

0080D3 

Shiva 

00AA00 

Intel 

02608C 

3Com 

080009 

Hewlett-Packard 

080020 

Sun 

08005A 

IBM 


일러두기 

MAC 주소의 첫 3byte 는 좋은 고장수리 도구로 될 수 있 다. 만일 한 문제 를 조사하고 
있다면 그 원천 MAC 주소를 결정하여 보시오. 누가 그 장치를 만들었는가를 알면 
어느 체계가 고장나고 있는가를 쉽게 알수 있다. 실례로 첫 3byte 가 0000 A2 이라면 
망에서 Bay Networks 의 제품들에 주의를 돌리면 될것 이 다. 


MAC 주소의 두번째 부분은 제 작자가 그 장치 에 배 당한 계 렬번호이다. 

주목되는 한가지 주소는 FF-FF-FF-FF-FF-FF 이다. 이것을 방송주소라고 한다. 방송 
주소는 특수한데 그것은 이 파케트를 수신하는 모든 체계가 그 자료를 읽어야 한다는것 
을 의미한다. 만일 한 체계 가 방송주소로 보내지는 한 프레 임을 만나면 그 프레 임 을 읽 
고 그 자료를 처 리하게 된 다. 


주 의 

원천마디마당에 서 방송주소를 가지 는 프레 임 은 있을수 없 다. 이써네 트에 서 는 원천 
마디 마당에 방송주소가 놓이 는 상태 가 존재하지 않는다. 


주소변환규약 

목적지마디점주소가 무엇인가를 어떻게 알고 거기로 자료를 보낼것인가? 그런데 망 
기판은 전화번호책을 가지고 있지 않다. 마디점주소를 구하는것은 주소변환규약 (ARP) 프 
레임이라고 하는 특수한 프레임에 의하여 수행된다. ARP 는 어느 통신규약 (IPX，IP, 
NetBEUI 등) 을 리용하는가에 따라 다르게 동작한다. 
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실례로 그림 3-1 을 보시오. 이것은 같은 망에 있는 다른 체계에 정보를 보내려 하 
는 체 계의 초기파케 트를 해 신한것 이 다. 전송체계는 목적체 계의 IP 주소를 알고 있지 만 목 
적 지의 마디점 주소는 모르고 있다. 이 주소가 없으면 자료의 국부적전송은 불가능하다. 
ARP 는 체계가 목적지체계의 마디점주소를 구하는데 리용된다. 
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그림 3-1. 목적지체계의 마디점주소를 얻으러는 전송체계 


주 의 

프레 임해 신은 2진프레 임전송을 사람이 리해할수 있는 형 식 으로 변환하는 과정 이 다. 
이것은 보통 망분석프로그람을 리용하여 수행된다._ 


ARP 는 다만 국부적통신을 위한것 이 다. 자료파케트가 경 로기 를 지 나갈 때 이씨네 트 
머 리부는 다시 작성되는데 원천마디점주소는 경 로기의것 이고 전송체 계의것은 아니 다. 이 
것은 새 로운 ARP 요청 이 생성되 여 야 한다는것 을 의미한다. 

그림 3-2 는 이것이 어떻게 진행되는가를 보여 준다. 전송체계 F 는어떤 정보를 목 
적지체 계 W 에 보내 려 고 하고 있다. W 는 F 와 같은 부분망에 있지 않으므로 그는 국부경 
로기 에 포구 A 의 마디점 주소를 알기 위하여 하나의 ARP 를 전송한다. 관가 이 주소를 알 
면 그는 자기의 자료를 경로기에 전송한다. 

이 때 경 로기 는 다음에 광의 마디점 주소를 알기 위하여 포구 B 에 하나의 ARP 를 보 
낼것 이 다. 방가 이 ARP 요구에 응답하면 경 로기 는 그 자료로부터 이써네 트프레 임 을 떼 내 
고새것을 만든다. 경로기는 원천마디점주소(원래 F 의 마디점주소)를 포구 B 의 마디점 
주소로 바꾼다. 또한 목적 지주소(원래 포구 시를 W 의 마디 점 주소와 바꾼다. 


주 의 

경 로기가 두 부분망과 통신하기 위 하여서는 매 포구에 대 하여 하나씩 두개의 유일 
한 마디점 주소가 필 요하다. F 가 、 N 를 공격 하고 있 다면 송신체 계 를 식 별 하기 위하여 
W 의 부분망의 프레 임안에 있는 원천마디점 주소를 리용할수 없 다. 원천마디점 주소 
는 그 자료가 어 디서 이 부분망에 들어 갔는가를 표시하므로 원래 의 송신체 계 를 식 
별할수 없다. 
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F 가 W 와 같은 부분망에 있지 않다는것을 알게 되면 그는 경로기를 찾게 된다. 체 
계는 자료를 어떻게 잘 배포할것 인가를 결정할 때 그림 3-3 과 같은 공정 을 거 치게 된 
다. 일단 체계가 정보를 어디로 보낼것인가를 알게 되면 그것은 적당한 ARP 요청을 송 
신한다. 

모든 체계는 ARP 요청을 통하여 얻은 정보를 보관할수 있다. 실례로 표가 몇초후에 
W 에게 다른 하나의 자료파케트를 보내 려고 한다면 그는 경로기의 마디점주소를 위 한 새 
로운 ARP 요청을 전송하지 말아야 한다. 왜 냐하면 이 값은 기 억기 에 보관될것 이기때문이 
다. 이 기 억 구역 을 ARP 캐 쉬 ( Cache ) 라고 부론다. 

ARP 캐쉬 의 내 용들은 60 s 동안 유지 된 다. 그후에 그것 들은 지 워 지 며 다시 새 로운 
ARP 캐쉬표에서 영구적인 내용을 만드는 정적 ARP 항목들을 만들수도 있다. 이렇게 하면 
정 적항목을 가지 는 마디점 들에 대 하여 서 는 ARP 요청 을 전송하지 않아도 된 다. 

실례로 표의 기계에 경로기를 위한 정적 ARP 항목을 만들어 놓으면 이 장치를 찾을 때 
ARP 요청 을 전송하지 않아도 된 다. 유일한 문제 는 경 로기 의 마디점 주소가 변 할 때 제 기 
된다. 만일 경로기가 고장나서 그것을 새것으로 바꾼다면 F 의 체계에 들어 가서 그 정 
적 ARP 항목을 변경시켜야 한다. 왜냐하면 그것은 새 경로기가 다른 마디점주소를 가지고 
있기 때문이다. 


틍신규약이 하는 일 

한 체계가 다른 체계에 정보를 전송하려고 한다면 그것은 프레임머리부의 목적지마 
당에 목표체계의 마디점주소를 가지는 프레 임을 만들어 보내게 된다. 이 통신방법은 해 
당한 위 상구조의 통신규칙 의 부분이 다. 이 전송은 다음의 문제 들을 제 기한다. 

• 전송체 계 는 프레 임 이 하나의 토막으로 수신되 였 다고 가정 하면 되 는가? 

• 목적 지 체 계 는《 나는 당신의 프레 임 을 송신하였 다. 고맙다! > 라고 응답하여 야 하 
는가? 

• 만일 응답을 보내 야 한다면 매 개 프레 임 이 자기 의 답례 를 요구하는가 아니 면 프레 
임 들의 한 묶음에 대 하여 하나의 답례 를 보내 면 되 는가? 

• 목적 지 체 계 가 갈은 국부망에 있 지 않다면 자료를 어 디 로 보낼 것 인 가를 어 떻 게 해 
결 할것인가? 

• 목적 지 체 계 가 원 천체 계 에 서 전 자우편을 운영 하고 파일 을 전송하며 Web 페 지 들 
을 돌아 다닌다면 어 느 응용프로그람이 이 자료를 쓰는것 인지 를 어 떻 게 알것 인가? 

통신규약의 일감은 바로 이 물음들과 그리고 통신과정에 제기되는 여러 다른 문제들 
에 대답하는것이다. IP , IPX , AppleTalk 또는 NetBEUI 에 대하여 말할 때 이것은 통신규 
약에 대하여 말하는것이다. 그러면 하나의 통신규약을 특징 짓는 설계서가 왜 간단히 그 
위상구조에 의하여 정의 되지 않는것 인가? 

그 대답은 다양성 때 문이 라는것 이 다. IP 의 통신특성 들이 이써네 트위상구조에 매 여 있 
다면 모든 망토막들에서 이써네트를 리용하여 야 할것 이며 이것은 광지역망련결을 포함한 
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다. 이 봉사들이 이써네 트를 위 해서 만 준비되 여 있으므로 통표고리 형 이 나 ATM 을 리용 
할수 없을것이다. 

여러가지 통신규칙들(통신규약들)을 정의함으로써 지금 이 규칙들은 임의의 OSI 호 
환위상구조들에 적용될수 있다. 이것이 OSI 모형이 개발되게 된 리유이다. 

OSI 모령 

1977년 에 국제 규격 화기 구 ( ISO ) 는 서 로 다른 제 작자들이 내 놓은 체 계 들사이 의 통신 
을 개 선 하기 위 하여 열 린체 계 호상접 속참조모형 ( OSI 모형 ) 을 개 발하였 다. ISO 는 많은 서 
로 다른 조직 들을 대 표하는 위 원회 로서 그것 의 목적 은 어 떤 특정 의 통신방법 을 택하는것 
이 아니 라 각이한 제 작자들의 제 품들이 호환성 을 가지 도록 보장하는 지 침들을 개 발하는 
것이다. 

ISO 는 체계들사이의 통신을 간단화할것을 주장하고 있다. 자료가 먼저 정확한 체계 
에 도착하고 다음에 리용할수 있는 형태로 정확한 응용프로그람에 넘겨 지는것을 담보하 
기 위 하여 서 는 많은 사건들이 발생하여 야 한다. 

규칙들의 모임은 통신과정을 간단한 구성블로크들의 모임으로 분할하여야 한다. 
OSI 모형은 7개의 층으로 구성된다. 매층은 통신과정의 그 부분이 어떻게 기능하며 바로 
웃층, 바로 아래층 그리고 다른 체계의 린접층들과 어떻게 련결되는가를 서술한다. 이것 
은 제 작자가 일정한 준위 에서 동작하는 제 품을 만들게 하며 그것 이 가장 넓 은 응용범위 
에서 동작하도록 보장한다. 만일 제작자의 제품이 특정의 층에 대한 표준에 따른다면 그 
것 은 린 접층에 서 동작하는 다른 제 작자의 제 품과 통신 할수 있 어 야 한다. 


복잡한 과정들 간단화하기 

OSI 모형에 대한 한가지 비유로 집 짓는 과정을 들수 있다. 집을 짓는것냉 복잡한 
작업공정들로 실현될수 있는데 그것을 공정별로 분할하면 보다 쉽게 된다.，은 집은 
기초에서 시 작되며 기초를 얼마나 넓게，얼마나 깊이 하여 야 하는가에 대 한 _ f ■칙들이 
있다. 다음에 틀을 맞추는데 여기에도 재목이 얼마나 굵어야 하고 매개 기둥。나 들보 
가 받침대없이 얼마나 길게 뻗칠수 있는가에 대한 규칙들이 있다. 

일단 집의 틀이 잡힌다면 벽을 쌓고 지붕을 올리며 전기체계와，도관속 설 등의 
공정들이 있다. 이 복잡한 공정을 작고 여러 단순한 공정들로 나누어 진행한 C 면 집건 
설이 쉬워 지게 된다. 실례로 전기담당자의 책임은 선을 늘이고 전기코드구정 을 내는 
것이지 지붕널을 잇는것이 아니다. 

전체적 인 구초는 매개 부분이 다른것에 의존하면서 조화롭게 짜맞춘 주 단과 같 
이 된다. 

OSI 모형은 이러한 종류의 정의와 의존성들을 설정하려고 하고 있다. 통 1과정의 
매 부분은 개별적인 구성블로크로 된다. 이것* 통신과정의 매 부분이 무엇될 하여야 
하는가를 쉽게 결정할수 있게 한다. 또한 매 부분이 다른것과 어떻게 련결되는 가를 쉽 
게 정의할수 있게 한다. 
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집을 짓는것에 비유해 말하면 재목창고에서 집건설에 쓰이는 들보를 굵기와 재질에 
따라 선별하여 취급한다면 건설자들은 적당한 기초구조를 가지는 임의의 집에서 정확히 
기능하는 들보들을 구할수 있을것이다. 

그림 3-4 는 OSI 모형의 전체적 인 표현이 다. 매 개 층의 기능을 하나씩 보기 로 하자. 



원격채채에 접근하기 위한 프로그람요구 
들을 관리한다 (FTP,MFS,RetW Me 요구자). 

자료단위 는 «통보문 상 이다. 

송신자료를 수신자의 자 i 형태로 면환한다. 
또한 암호화,압축，변환，복호화가 진행된다. 
(U«ic.de,ASCII). 자료단위는 «통보분》이 다. 


련결을 설정하고 유지，해재한다. 대화동기를 
보장한다 (RPC,NetBIOS， 포구에 대한 봉사). 
자로단위는 «통보분 고 이 다. 

송진자와 수션자사이 전송의 신뢰성율 보장 
한다. 통신부분방을 통하여 통보문의 전송과 
관리를 진행한다. 파케트순서률 조종하고 
자료의 관전성을 담보한다 (TCP,ATP,SPX). 

자1단귀 는 «토막방 이 다. 

망토막과 망주소률 정의한다. 

다중방토박들사이 접촉을 관리한다. 

J ᅲ 단위 는 « 파케트 표 이 다. 

트머 리부와 검 사합을 창조한다. 테타그람 
ᅩ 프례임으로 l 갑화한다. 오유를 검출하고 
자 i 흐름을 조종한다. 하드웨어주소의 변환을 
진행 한다 (FDDI，Eti e met，Tl). 

자I단위는 «프레임»이다. 

자로전송율 위한 물리적 및 전기적특성율 
정의한다. 또한 접촉형태와 접촉단자수， 
전압과 전류준위를 정의한다 (AMSI/EIA 부류, 
KS-232,V.35). 자료단위는《비트》이다. 


그림 3-4. OSI 모형 


물리층 물리층은 전송매 체，접 속구，신호임 풀스들에 대 하여 설명한다. 반복기 나 집 
선기 는 그것 이 프레 임 과 관계 없고 전기 신호를 증폭하고 전송하므로 물리층 
장치 이 다. 

자료련결층 자료련결층은 국부적체계들사이의 위상관계와 통신에 대한 설명을 준다. 
이써 네 트는 다중물리 층명세 (꼬임 쌍선，빛 케 블)와 다중망층명세 ( IPX ， IP ) 를 
가지고 동작하므로 자료련결층의 좋은 실례로 된다. 자료련결층은 망의 물리 
적 측면(케 블이 나 수자식임풀스)을 쏘프트웨어 의 추상세 계 와 자료흐름과 련결 
시키는〈〈세계들사이의 문》이다. 망다리와 교환기는 프레임관련이므로 자료 
련결층장치로 간주된다. 이것들은 둘 다 자료흐름을 조절하는데서 프레임머 
리부의 정 보를 리용한다. 

망층 망층은 서로 다른 망에 있는 체계들이 어떻게 서로 찾는가를 서술한다. 그것 
은 또한 망주소들을 정 의한다. 망주소는 물리 적 으로 련결된 체 계 들의 한 집 
단에 배 당된 이 름 또는 번호이다. 
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주 의 

망주소는 망관리 자에 의하여 배 당되 며 매 망기 판에 배 당되 는 MAC 주소와 혼돈하지 
말아야 한다. 망주소의 목적 은 장거 리자료전송을 쉽 게 하기 위한것 이 다. 그것 의 기 
능은 편지를 부칠 때 우편번호를 써넣는것과 류사하다._ 


IP, IPX 그리 고 AppleTalk 의 데 타그람배 포규약 (DDP) 은 모든 망층기 능의 실례 들 
이다. 봉사 및 응용프로그람의 효과성은 이 준위에서 지적된 기능에 기초하고 
있 다. 


주 의 

망층기 능에 대 한 상세 한것 을 알려 면 이 장의 소제 목《망층에 대 한 보충》을 보시 오. 


전송층 전송층은 자료의 실제 적 인 조작을 취 급하며 망을 통한 자료배 포를 준비한다. 
만일 자료가 하나의 프레 임으로서는 너무 크다면 전송층은 그것을 보다 작은 
토막들로 분할하고 순서번호를 불인 다. 순서번호는 다른 수신체 계 의 전송층 
에 서 그 자료를 원래 의 내 용으로 재조립할수 있게 한다. 자료련결층은 모든 
프레 임 들에 대 하여 CRC 검 사를 수행하지 만 전송층은 모든 자료들이 수신되 고 
쓸수 있 다는것 을 담보하기 위하여 여 벌 검 사로서 동작할수 있 다. 전송층기 능 
의 실례는 IP 의 전송조종규약 (TCP), 사용자데타그람규약 (UDP), IPX 의 순서 
파케 트교환 (SPX), AppleTalk 의 ATP 들이다. 

대화층 대화층은 둘 또는 그이상의 체계들사이 에서 련결을 설정하고 유지 하는것을 
취 급한다. 그것 은 특정봉사형 태 에 대 한 질 문이 정 확히 만들어 진다는것 을 담 
보한다. 실례로 자기의 Web 열람기로 한 체계에 접근하려고 한다면 이 두 체 
계에서 대화층들은 전자우편이 아니라 HTML 페지들을 받는다는것을 함께 담 
보하도록 동작한다. 만일 체계 가 여 러개의 망응용프로그람들을 돌리 고 있다 
면 이 통신들을 순서대로 유지하고 들어 오는 자료가 정확한 응용프로그람에 
로 간다는것 을 담보하는것 은 대 화층까지 이다. 사실상 대 화층은 하나의 봉사 
안에서 일의 적인 대 화를 유지한다. 실례 로 갈은 시 간에 갈은 Web 싸이트로부 
터 두개 의 다른 Web 폐 지 를 내 리받기한다는것 을 생 각해 보시 오(같은 콤퓨터 
로부터). 대화층은 매 파일전송의 완전성을 유지 하며 두 자료흐름이 섞이지 
않도록 수신체계에서 혼돈되지 않음을 담보한다. 

표현층 표현층은 자료가 체계에서 돌아 가는 응용프로그람에 리용가능한 형태로 접 
수되 는것 을 담보한다. 실례 로 인터네 트상에 서 암호화된 통신을 리 용하여 통 
신하고 있다면 표현층은 이 정보를 암호화 및 복호화할 책임을 진다. 대부분 
의 Web 열람기들은 인터네트에서 금융업무를 수행하기 위하여 이러한 기술을 
지원한다. 자료 및 언어번역도 이 준위에서 수행된다. 

응용층 응용층이라는 말은 이것이 사용자가 체계에서 돌리고 있는 실제적인 프로그 
람을 서술하는것 이 아니므로 좀 오해를 줄수 있다. 이 층은 오히 려 망자원에 
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로의 접근이 언제 요구되는가를 결정하는데 책임이 있는 층이다. 실례로 
Microsoft Word 는 OSI 모형의 응용층에서 기능하지 않는다. 만일 한 사용자가 
봉사기 에 있는 자기 의 홈등록부로부터 하나의 문서 를 검 색하려 고 한다면 응 
용층망쏘프트웨어는 원격체계 에 그의 요구를 전송할 책 임을 가진다. 

OSI 모형은 어떻게 동작하는가 

이 층들이 어떻게 함께 동작하는가를 보기 위하여 하나의 실례를 고찰하자. 만일 자 
기의 문서처리프로그람을 리용하고 있고 원격봉사기에 있는 자기의 홈등록부로부터 파일 
resume . txt 를 검 색 하려 고 한다고 가정 하자. 체 계 에서 돌아 가는 망쏘 프트웨 어는 다음의 
서술과 같이 반응할것 이 다. 

파일요청을 형식화하기 

응용층은 원격파일체 계 로부터 정 보를 요청 하고 있 다는것 을 검 출한다. 그것 은 
resume . txt 가 있는 체계에로 가는 하나의 요청을 형식화한다. 이 요청을 만들면 응용층은 
다음의 처 리를 위하여 그것을 표현층에 보낸다. 

표현층은 이 요청을 암호화할 필요가 있는가 또는 어떤 형식의 자료변환을 할것인가 
를 결정한다. 일단 이것이 결정되고 완성되면 표현층은 그것에 원격체계의 표현층을 통 
과하는데 필요한 어떤 정보들을 추가하고 그 파케트를 대화층에로 보낸다. 

대화층은 어느 응용프로그람이 그 정보를 요구하고 있는가를 검사하고 원격체계로 
부터의 어떤 봉사가 요청되고 있는가를 확인한다(파일접근). 대화층은 원격체계가 어 
떻 게 이 요청 을 처 리할것 인 가를 알고 있 다는것 을 담보하기 위 해 그 요청 에 정 보를 첨 
가한다. 다음에 전송층에 로 이 모든 정보들을 보낸다. 

전송층은 그것이 원격체계와 믿음성 있는 련결을 가지고 있다는것을 담보하여 정보 
들을 분할하여 프레 임으로 포장하는 공정을 시작한다. 하나의 프레 임 이상이 요구된다면 
정 보는 분할되 고 매 블로크에 순서번호가 배 당된다. 이 순서화된 정 보묶음이 한번 에 하 
나씩 망층으로 내려 간다. 

망층은 전송층으로부터 정보블로크들을 받고 망주소를 첨가한다. 이것은 자료련결층 
으로 내 려 가는 매 블로크에 대하여 수행된다. 

자료련결층에서 블로크들은 개별적인 프레임들로 포장된다. 그림 3-5 에서 보여 준것 
처 럼 매 이 전층들에서 보충된 모든 정 보는(실제 적 인 파일요청 도 함께 ) 이써네 트프레 임 의 
46-1500 byte 크기에 맞아야 한다. 자료련결층은 다음에 원천 및 목적지 MAC 주소로 구성 
된 프레 임 머 리 부를 첨 가하고 이 정 보를 리용하여(자료마당의 내 용에 따라) CRC 꼬리 부를 
만든다. 자료련결층은 다음에 망에 서 리용되 는 위 상구조규칙 에 따라 그 프레 임 을 전송할 
책 임을 진다. 위상구조에 따라 이것은 망우에서 조용한 순간동안 듣기，통표기다림 또는 
전송전의 특정한 시 간분할대 기 등을 의 미할수 있 다. 
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물리층은 원천으로부터 목적지에로 정보를 나르는 책임을 진다. 물리층은 프레임에 
따라 정보를 가지고 있지 못하므로 자료련결층으로부터 전송된 수자신호임풀스들을 그저 
통과시킨다. 물리층은 두개의 매 체계사이에 련결이 이루어 지는 매체로서 원격체계의 
자료련결층에로 신호를 나르는 책임을 진다. 

이 로서 콤퓨터 는 자료요청 (《 나에 게 resume . txt 의 복사본을 보내 시 오.》) 을 성 과적 으 
로 형식화하였으며 그것을 원격체계에 전송하였다. 이 점에서 원격체계는 류사하지만 반 
대 방향인 과정 을 수행한다. 


원격체계에서 자료를 받기 

원격체계의 자료련결층은 전송된 프레임을 읽어 들인다. 그것은 머리부의 목적지마 
당의 MAC 주소가 자기의것 이 라는것을 알고 자기 가 이 요청 을 처 리 해 야 한다고 인정한다. 
그 프레 임 에 대 한 CRC 검사를 진행 하고 그 결과를 프레 임꼬리부에 보관된 값과 비 교한다. 
이 값이 일치하다면 자료련결층은 머리부와 꼬리부를 떼버리고 그 자료련결층은 원천체 
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계 에 또 하나의 프레 임을 보낼것을 요구하는 요청을 보낸다. 

원격체계의 망층은 올라 온 정보를 분석한다. 목적지쏘 프트웨 어주소가 자기것임을 
알게 된다. 이 분석 이 끝나면 망층은 이 준위와 관련된 정보를 제거하고 나머지를 전송 
증에 보낸다. 

전송층은 그 정보를 받고 분석 한다. 만일 파케트순서화가 리용되였다는것을 발견하 
면 자료가 다 수신될 때까지 대기한다. 만일 자료의 일부가 손실되 였다면 전송층은 순서 
정보를 리용하여 원천체계에서 보낼 하나의 응답을 형성하는데 잃어 진 자료토막을 다시 
전송할것을 요구한다. 모든 자료가 수신되면 전송정보들을 떼버리고 대화층에 그것을 올 
려 보낸다. 

대화층은 정보를 받고 그것이 정당한 련결로부터 온것인가를 확인한다. 검사가 제대 
로 되면 대화층정보를 떼버리고 그 요청을 표현층에 보낸다. 

표현층은 그 정보를 받고 분석한다. 요구되는 어떤 변환 또는 부호화를 수행한다. 
변환이나 부호화가 끝나면 표현층정보를 떼버리고 그 요청을 응용층에 올려 보낸다. 

응용층은 그 체계에서 돌아 가는 정확한 과정이 그 자료요청을 접수한다는것을 담보 
한다. 이것이 파일요청이므로 그것은 파일체계접근에 책임이 있는 어느 공정에 보내진다. 
이 공정은 요청된 파일을 읽고 그것을 응용층에 보낸다. 이 점에서 매개 층을 통하여 정 
보를 보내는 전체 과정 이 반복된다. 

망층에 대한 보충 

앞에서 언급되였지만 망층은 론리적망들사이에서의 정보의 전송을 위하여 리용된다. 


주 의 

론리적망이란 간단히 망관리자에 의하여 공통망주소가 할당된 체계들의 집 단이다. 
이 체계들은 공통적 인 지역 또는 배선중심을 공유하고 있는것으로 하여 함께 콜라 
스터화될수 있다. 


망주소들 

망주소에 대하여 리용되는 술어는 리용되는 통신규약에 따라 다르다. 리용되는 통신 
규약이 IPX 라면 론리 적망은 간단히 하나의 망주소라고 한다. IP 이 면 그것 은 부분망， 
AppleTalk 이 면 지 역 ( zone ) 이 라고 부론다. 


주 의 

NetBEUI 는 전송층, 망층 그리고 자료련결층(그것의 LLC 부분)의 겹침으로 볼수 있 
으나 NetBIOS 와 NetBEUI 는 경 로조종불가능한 규약들이 다. 이 것 들은 망번호를 리 용 
하지 않으며 론리적망토막들사이에서 정보를 전파할 능력을 가지지 않는다. 경로조 
종불가능한 통신규약은 모든 체계들이 국부적으로 련결될것을 요구하는 통신규칙들 
의 모임이다. 경로조종불가능한 통신규약은 국부망들사이로 움직일 직접적인 방법 
을 가지고 있지 못하다. NetBIOS 프레임은 어떤 형래의 도움이 없이 하나의 경로기 
를 통과할수 없다. 
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경로 기 


경로기는 론리적망들을 련결하는데 리용된다. 그러므로 그것들은 때로 IP 세계에서 관 
문(게 이트웨이)이 라고 부론다. 그림 3-6 은 하나의 망에 경로기를 추가한 결과를 보여 준다. 
그 장치 의 어 느 한쪽에 있는 통신규약들은 일의 적인 론리 적망주소를 리용하여 야 한다는것 
에 주목하기 바란다. 국부망이 아닌 체계에서 요구되는 정보는 그 체계가 있는 론리적망에 
로 경로조종되여야 한다. 한 론리망으로부터 다른 망에로 경로기를 건너 가는 동작을 도약 
( hop ) 라고 한다. 통신규약이 경 로기를 도약할 때 그것은 량쪽에서 일의적인 론리망주소를 
리용하여야 한다. 



워크스테이션 워크스테이션 워크스테이션 워크스테이션 



워크스테이션 워크스테이션 워크스테이션 워크스테이션 



그림 3-6. 망에 경로기를 추가한 결과 


그러면 한 론리망토막에 있는 체계가 그 망에 다른 론리토막들이 있다는것을 어떻게 
알수 있 겠 는가? 경 로기 는 원격망들을 찾아 가기 위한 경 로를 서 술하는 정 보를 가지 고 정 
적으로 프로그람화될수도 있고 또는 경로조종정보규약 ( RIP ) 과 같은 특수한 형태의 프레 
임 을 리용하여 알려 진 망들에 대 한 정 보를 중계할수도 있다. 경 로기 는 이 프레 임 들과 
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정적인 항목들을 리용하여 경로조종표라고 부르는 망의 계획을 만든다. 

호 __ °i 

경로조종표는 어느 론리망이 정보전송에 준비되여 있고 어느 경로기가 그 망에 정 

보를 넘길수 있는가를 경로기에게 보여 준다. 

경로조종표 

경로조종표를 도로지도와 같이 생각할수 있다. 도로지도가 도시의 거 리들을 다 보여 
주는것과 갈은 방법으로 경로조종표는 모든 국부망들의 통로를 가지고 있다. 

이 매개 경로기들이 서로 통신하며 누가 어디에 련결되는가를 알게 하는 방법이 없 
다면 론리 망토막들사이 의 통신은 불가능할것 이 다. 

한 망으로부터 다른것 에 로 정보를 경로조종하는데는 3 가지 방법 이 있다. 

• 정 적 방법 

• 거리벡토르법 

• 련결상태법 

매개 통신규약은 자기의 경로조종기능제공방법을 가지고 있으므로 매 실현은 이 세 
가지 류형중 하나로 갈라 지 게 된 다. 

정적경로조종 

정적경 로조종은 한 체 계 로부터 다른것 에 로 정보를 보내는 가장 간단한 방법 이 다. 정 
적경 로조종에 서는 특정 의 경 로기 를 특정 의 망에 로 경 로조종하는 점 으로 정 의한다. 정 적 
경로조종은 경로기가 경로정보를 바끌것을 요구하지 않는다. 그것은 특정의 망에 있어서 
특정의 경 로기 에 로의 통신량한계 를 지 시하는 구성파일에 의존한다. 이것은 물론 통신하 
려 고 하는 모든 국부망들을 미 리 결정할수 있다는것을 가정한다. 이것 이 쉽지 않을 때 
(실례 로 인터네 트상에서 통신할 때 ) 미 리 정의되지 않은 망들에 대 한 모든 통신량들을 
접 수하기 위한 기 정 의 경 로기 로 하나의 경토기 가 선정 되 게 된다. 정 적경로조종이 리용될 
때 대부분의 콤퓨터 들은 기정경 로기 만을 위한 항목을 수신한다. 

실례로 어떤 체계를 갈리프레이라고 하는 경로기로 지적하는 기정경로를 가지도록 
구성한다고 가정하자. 체계가 망층으로 정보를 통과시킬 때 그것은 목적지체계의 론리적 
망을 분석할것 이 다. 만일 그 체계 가 같은 론리망에 위 치 하고 있다면 자료련결층은 그 체 
계의 MAC 주소를 첨부하고 그 프레임을 전송한다. 그 체계가 다른 망에 위치하고 있다 
면 자료련결 층은 갈리프레이 를 위한 MAC 주소를 리용하고 그 프레 임 을 그것 에 전송한다. 
그 프레임이 자기의 최종목적지에로 가도록 담보하는것은 갈리프레이의 책임이다. 

이러한 경로조종방법의 우점은 간단하고 부차적소비가 적은것이다. 나의 콤퓨터는 
어떤 다른 론리망이 준비되여 있고 어떻게 거기로 갈것인가를 알 필요가 없다. 두가지 
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문제거 리 가 있는데 국부적배 포와 갈리프레 이 에게로의 배포이 다. 이것은 최종목적지에 로 
의 경로가 하나만 있을 때에는 효과적일수 있다. 실례로 대부분의 기관들은 하나의 인터 
네트련결만을 가진다. 이 련결에 가까운 경 로기 에로 모든 IP 통신량을 지적 하는 하나의 
정적경로를 설정하면 모든 프레임들이 적당히 배포된다는것을 가장 쉽게 담보할수 있다. 
모든 경 로조종정 보들이 시 작시 에 구성 되 므로 경 로기 는 경 로조종정 보를 다른 경 로기 들과 
공유하지 않아도 된다. 매개 체계는 다만 자기의 다음번 기정경로에 넘겨 주는 정보만을 
관심 한다. 이때에 는 자기망을 통하여 전송되는 동적경 로조종프레 임들을 가지지 않아도 
된다. 왜냐하면 매개 경로기는 정보를 어디로 넘겨야 한다는것을 미리 설정하고 있기때 
문이다. 

정적경로조종은 리용하기 쉽지만 그것의 응용범위를 크게 제한하는 몇가지 결함을 가 
지고 있다. 여분의 경로들이 있을 때 또는 여러개의 경로기들이 같은 망에서 리용될 때 동 
적 경 로정 보를 교환할수 있는 경 로조종방법 을 쓰는것 이 보다 효과적 이 다. 동적 경 로조종에서 
는 경로조종표가 동작중에 만들어 지는데 이로 하여 장치적고장들을 보상할수 있다. 거 리 
벡 토르법 과 련결상태 경 로조종에 서 는 경 로조종표가 항상 최 신의 것 으로 되 도록 하기 위 하여 
동적경로정보를 리용한다. 

정적경로조종보안 

정적경로조종은 보존성이 높으므로 경로조종표를 만드는데서는 가장 안전한 방법이 
라고 볼수 있다. 동적경로조종은 경로조종표가 망에 있는 장치들에 의하여 동적으로 갱 
신되도록 한다. 공격자는 경로기에 부정확한 경로정보를 넣기 위하여 이 성질을 리용할 
수 있다. 사실상 동적경로조종규약을 리용하면 공격자는 하나의 경로기에만 가짜정보를 
넣 으면 된다. 이 오염된 경로기는 이 가짜정보를 망의 다른 부분들에도 퍼뜨리게 된다. 
매개 정적경로기는 자기의 경로조종표를 보존할 책임이 있다. 이것은 하나의 경로기가 
오염되여도 공격의 효과가 다른 경로기들에로 자동적으로 퍼지지 않는다는것을 의미한다. 
정적경로조종을 리용하는 경로기는 ICMP 방향돌림공격에는 취약할수 있지만 그것의 경로 
조종표는 틀린 경로정보의 전파에 의하여 파괴될수 없다. 


주 의 

ICMP 에 대 한 내용을 알려면 제5장의 《파케트려과 ICMP 》 를 보기 바란다. 


거리백토르경로조종 

거 리벡토르법은 가장 오래 고 널리 쓰이는 경 로조종표작성 법 이다. 경 로조종규약 ( RIP ) 
은 이 거리벡토르법에 기초하고 있다. 여러해동안 거리벡토르법은 유일한 동적경로조종 
방법 으로 쓰이였 으며 많은 망들에 서 사용되 였 다. 

거 리벡 토르법 에서는 간접적 인 정보들로 표를 구성한다. 하나의 경 로기는 다른 경로 
기 들이 공시하는 표들을 보고 자기 의 표를 만들기 위하여 공시된 도약값에 간단히 1을 
더한다. 이 방법 에 서 매 개 경 로기 는 자기 의 경 로조종표를 lmin 에 한번씩 방송한다. 
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그림 3-8. 도식화된 망이 주어 지면 매개 경로기는 
자기 의 경 로조종표를 구성한다. 

이제 경로기 C 가 타서 떨어 져 나갔다고 가정하자. 이렇게 되면 망 4는 모든 다른 
망토막들에 도달할수 없게 된다. 경로기 표는 경로기 C 가 떨어 져 나간것을 알게 되면 
자기가 이전에 받은 RIP 정보들을 다시 검토하여 다른 하나의 경로를 찾는다. 이것은 거 


경 고 

큰 망에 서 는 RIP 갱 신이 분당 1〜 2 회 인것 으로 하여 수렴시 간이 매 우 길수 있다. 


거리백토르경로조종문제 

거 리 벡 토르경 로조종표는 거 의 완전히 간접정 보에 의하여 만들어 진다는것 을 아는것 
이 중요하다. 어떤 경로기에서 도약수가 1보다 큰 어떤 경로는 그것 이 다른 경로기로부 
터 무엇을 배웠는가에 기초하고 있다. 경로기 B 가 경로기 A 에게 자기가 망 5에는 두개 
의 도약으로，망 6에는 3개의 도약으로 도달할수 있다고 말할 때 그것은 경로기 D 로부 
터 받은 정보의 정확성을 완전히 믿고 있는것이다. 

그림 3-8 은 아주 간단한 한 망배 치 를 보여 준다. 그것 은 3개 의 경 로기 에 의하여 분 
리 된 4개 의 론리 망으로 구성 되 여 있 다. 일 단 수렴점 에 도달하면 매 경 로기 는 그 표와 같 
이 경로조종표를 만들것 이 다. 


로 송송 
경 전전 

으 n T 성】■거 □ 
다- 지「치「 
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리벡 토르경 로조종이 오동작하기 시 작하는 과정 이 다. 경 로기 A 는 자기 가 망 4에 3개 의 
도약으로 갈수 있 다고 공시하였 으므로 경 로기 B 는 이 값에 1을 더 하고 자기 가 경 로기 B 
를 통하여 망 4에 도달할수 있다고 가정한다. 이렇게 간접정보에 의존하는것은 문제를 
발생 시킨다. 경 로기 C 가 고장나면 경 로기 B 는 망 4에 경 로기 A 를 통하여 도달할수 없 
는것 이 다. 

그림 3-9 에서 볼수 있는바와 같이 경로기 표는 지금 자기가 4개의 도약으로 망 
4에 도달할수 있다고 공시하기 시 작한다. RIP 프레 임은 하나의 경 로기 가 어 떻게 가 
는가 하는것은 알지 못하고 다만 그것이 가능하며 거기에 가는데 몇개의 도약이 필 
요하다는것만을 식별한다. 경로기 A 가 망 4에 어떻게 간다는것을 알지 못하므로 경 
토기 B 는 원래 자기가 보낸 경로정보에 경로기 A 가 의존하고 있다는 생각은 가지지 
못한다. 


망 1 



경로기 C 
망 4 


I 


망 호프수 다음경 토기 

1 1 직접전송 

2 1 직접전송 

3 2 B 
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1 직접전송 

1 직접전송 

4 A 


그림 3-9. 경 로기 B 는 A 의 정 보를 틀리 게 믿고 자기의 표를 갱 신한다. 


경로기 A 는 경로기 B 로부터의 갱 신 RIP 를 받고 망 4에로의 도약수가 2로부터 4로 
증가하였음을 알게 된다. 그러면 경로기 A 는 자기의 표를 그것에 따라 조절되고 자기가 
5개 의 도약으로 망 4에 도달한다는것 을 공시하기 시 작한다. 그러 면 경 로기 표는 다시 망 
4에로의 도약수를 하나만큼 증가시 킨다. 
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주 의 


이 현상은 두 경로기가 자기들의 도약수를 무한히 계속 증가시키므로 무한대셈세기 
라고 부론다. 이 문제로 하여 거리벡토르경로조종방법에서는 최대도약수를 15로 제 
한한다. 16이상의 도약수를 가지는 경로는 도달불가능한것으로 간주되며 경로조종 
표로부터 제거된다. 


RIP 갱신은 분당 한번 또는 두번만 전송된다. 이것은 경로기들이 망 4에 도달할수 
없 다는것 을 알기 까지 lmin 이 상 걸 린 다는것 을 의 미한다. ms 단위 로 프레 임전송을 진행하 
는 기술에서 lmin 이상의 시간은 통신에 파괴적손실을 주는 대단히 큰 시간이다. 실례로 
경 로기 들이 수렴하려 고 하는동안 망 2에 서 무슨 일 이 생 기 는가를 보기 로 하자. 

경로기 C 가 떨어 져 나가면 경로기 표는 경로기 A 를 통하여 또 하나의 경로를 가지 
고 있는것 으로 가정한다. 그것 이 받는 파케 트들은 오유검 사되 고 경 로기 A 로 보내 진다. 
경로기 A 가 그 프레임을 받으면 다시 오유검사를 진행하고 자기의 표를 참고하고는 그 
것 이 망 4로 가기 위해 경 로기 B 로 가야 한다는것 을 알게 된 다. 경 로기 표는 그 프레 임 
을 수신하면 그것을 다시 경로기 A 에 보내게 된다. 

이 것 을 경 로순환고리 라고 한다. 이 것 을《 뜨거 운 감자》문제 라고도 하는데 매 개 경 
로기는 그 프레임을 전송할 책임이 다른 경로기에 있다고 보고 그것을 서로 도로 넘겨 
주는것이다. 실례에서는 하나의 프레임만을 취급하지만 망 4로 가는 통신량이 적지 않다 
고 보면 막대한 통신자원 이 손실될 것 이 다. 

다행 히 도 망층에 는 이 문제 를 해 결 할수 있는 방법 이 있 다. 매 개 경 토기 가 프레 임 을 
다룰 때 그 프레 임안에 있는 도약계 수기 를 1만큼 감소시 켜 야 한다. 도약계 수기 는 그 정 
보가 몇개의 경 로기 를 통과하겠는가를 기 록하기 위한것 이 다. RIP 프레 임 에서 와 마찬가지 
로 이 계수기는 15라는 최대값을 가진다. 그 정보가 16번째로 처 리될 때 (계수기가 0으로 
떨 어 질 때 ) 그 경 로기 는 그 정 보가 전송불가능하다고 판단하고 그것을 제거해 버린다. 

이 16이 라는 도약제 한은 보통의 기 업망에 서 는 문제 가 아니 지 만 큰 망에 서 는 중요한 
문제 로 된다. 실례 로 인터네 트와 같은 큰 망에서 RIP 가 사용된다면 인터네 트의 어떤 부 
분들은 많은 자원에 도달할수 없을것이다. 

RIP 오ᅡ 관련한 보안 

RIP 경 로조종표는 간접정 보에 기 초하여 만들어 진것외 에 또 이 정 보는 실제 적 으로 
확인되지 않는다. 실례로 경로기 표가 어떤 주어 진 망에로의 최량의 경로를 가지고 있 
다고 주장하면 다른 경로기들은 이 정보를 확인하지 않는다. 실지로 그것들은 이 정보가 
경로기 B 로부터 보낸것 인지 그리고 경로기 B 가 존재하는지조차 확인하지 않는다. 

이러한 확인이 없는것은 보안상의 약점이라고 말할수 있다. 가짜경로정보를 퍼뜨리 
고 전체 망이 잘못 동작하게 만드는것 은 전혀 어 려운것 이 아니 다. 이것은 한사람의 심술 
궂은 사용자가 전체 망을 위한 통신을 어떻게 중단시 킬수 있는가 하는 명백한 실례 이 다. 

이상에서 본 이러한 보안관련문제들과 그리고 또 다른 문제들로 하여 많은 회사나 
기 관들은 정적경 로조종을 리용하거 나 OSPF(Open Shortest Path First ) 와 같은 련결상태 경 
로조종규약을 리 용하고 있 다. OSPF 에 서 는 RIP 에 서 의 수렴문제 와 갈은 많은 문제 들을 제 
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거하였을뿐아니라 표에 인증문제를 도입하고 경로기가 경로갱신에 참가하기 위해서는 통 
과암호를 사용하도록 요구하고 있다. 전혀 결함이 없는것은 아니지만 이 방법은 동적경 
로조종환경에서 보안을 크게 증가시 킨다. 

련결상태경로조종 

련결 상태 경 로기는 거 리 벡토르법과 류사하게 동작하나 몇 가지 중요한 례 외를 가지 고 
있다. 가장 중요한것은 련결상태경로기는 경로조종표를 만들 때 직접 엄은 정보만을 리 
용하는것이다. 이것은 경로조종오유를 없앨뿐아니라 수렴시간을 거의 0으로 떨군다. 그 
림 3-7 의 망이 련결상태경 로조종규약에 의하여 갱 신되 였 다고 가정 하고 경 로기 A 를 동작 
시키 고 무엇 이 발생 하였는가를 보기 로 하자. 

련결상태에서 망정보전파 

경로기 A 가 동작할 때 그것은 hello 라고 부르는 한가지 형태의 RIP 파케트를 보낸다. 
hello 파케트는《여 러분, 안녕하십 니까? 나는 이 망에 새로 온 경로기 입 니 다. 거기 누군 
가 있습니까?》라고 말하는것과 같다. 이 파케트는 그의 두 포구로 전송되며 경로기 B 
와 C 가 그에 응답할것 이 다. 

경 로기 A 가 경 로기 표와 C 로부터 의 응답을 받으면 그는 련결상태규약 ( LSP ) 프레 임 
을 만들고 그것을 경 로기 묘와 C 에로 전송한다. LSP 프레 임은 다음의 정보를 포함하는 
경 로보존프레 임 이 다. 

• 그 경로기의 이름 또는 식별자 

• 그것이 불어 있는 망들 

• 매개 망에로 가는 도약수 또는 비용 

• 그것의 hello 프레 임 에 응답한 매개 망우의 다른 경 로기들 

경로기 B 와 C 는 경로기 A 의 LSP 프레 임의 복사판을 만들어 그것을 그대로 망을 통 
하여 전송한다. 그러면 경로기 A 의 LSP 프레 임을 받은 매 경 로기는 매개 다른 경로기의 
LSP 프레 임 의 복사판을 유지한다. 경 로기 는 망을 도식 화하고 경 로조종표를 만드는데 이 
정 보를 리용할수 있 다. 매 LSP 프레 임 은 그것 을 보낸 매 개 경 로기 의 국부적 인 경 로정 보 
만을 가지 고 있으므로 이 망지도는 엄밀하게 직접정 보로부터 만들어 진다. 하나의 경 로 
기는 자기의 망그림 이 완성될 때까지 LSP 토막들을 맞추어 나간다. 

경로기 A 는 다음에 경로기 B 또는 C 로부터의 LSP 프레 임요청을 만든다. LSP 프레 임 
요청 은 그 경 로기 가 모든 알려 진 LSP 프레 임 들의 복사를 전송할것 을 요청하는 하나의 
질문이 다. 매개 경로기는 모든 LSP 프레 임들의 복사판을 가지고 있으므로 어느 한 경로 
기는 망에 있는 매 경로기로부터의 복사를 제공할수 있다. 이것은 경로기 A 가 이 정보 
를 매 경로기들로부터 개별적으로 요청하지 않아도 되게 함으로써 통신의 대역너비를 절 
약하게 한다. 일단 LSP 망이 돌아 가기 시작하면 갱신내용들은 두 시간에 한번씩 또는 
변화가(어떤 경로기가 고장났는가 등) 발생하였을 때에만 전송된다. 
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련결상태 방법에서 수림시간 

련결상태망이 가동하기 시 작하였 다. 경 로기 B 와 C 는 자기 들의 경 로조종표를 다시 
계산하지 않아도 된다. 그들은 그저 경로기 A 로부터의 새로운 토막들을 더하고 통신량 
을 계속 통과시키면 된다. 이것이 수렴시간이 거의 0이라는것의 리유이다. 다만 매 경로 
기에 요구되는 변화는 새로운 토막들을 자기의 표에 첨가하는것이다. 거리벡토르법과는 
달리 경 로조종표를 표준화하기 위한 갱 신은 요구되 지 않는다. 경 로기 표는 경 로기 C 를 
통하여 어 떤 망이 준비되 여 있는가를 알리 는 경 로기 A 로부터 의 두번째 파케 트를 필요로 
하지 않는다. 경로기 표는 그저 경로기 A 의 LSP 정보를 그의 현존표에 첨가하며 이미 그 
련결에 대하여 알고 있다. 

련결상태환경에서 경로기고장으로부터의 회복 

하나의 경 로기 가 떨어 져 나갔을 때 련결상태경 로조종이 어 떻게 반응하는가를 보기 
위하여 그림 3-9 를 다시 고찰하자. 이 실례의 목적을 위하여 경 로조종규약이 거 리벡토르 
법 으로부터 련결상태법 으로 갱 신되 였다고 가정 하자. 또한 경 로조종표들이 만들어 졌고 
통신량은 정상으로 통과하고 있다고 가정 하자. 

만일 경 로기 (그가 정지된다면 그는 하나의 보존프레 임 (마지막숨이 라고 하는)을 경 로 
기 B 에 전송하여 자기가 떨어 져 나간다는것을 알린다. 그러면 경로기 표는 가지고 있던 
경로기 C 의 LSP 프레임의 복사관을 지우고 이 정보를 경로기 A 에 전송한다. 이 두 경로 
기 는 지금 새 로운 망배 치의 정 당한 복사판을 가지 고 있으며 망 4에 로는 도달할수 없다는 
것 을 알고 있다. 만일 경 로기 C 가 살아 나지 못하고 아주 죽는다면 경 로기 B 가 경 로기 
C 가 더 는 자기 가 보낸 파케 트들에 응답하지 못한다는것 을 알기 까지에는 짧은 지 연이 생 
긴다. 이 점에서 경로기 표는 경로기 C 가 떨어 져 나갔다는것을 알게 될것이다. 다음에 
그는 경로기 C 의 LSP 프레 임을 자기의 표에서 지우며 경로기 A 에 이 변화를 전송한다. 
이 리 하여 두 체 계 는 새 토운 망배 치 의 정 당한 복사판을 가지 게 된 다. 

여기서는 엄밀히 직접정보만을 취급하고 있으므로 거리벡토르법에서와 같은 무한대 
셈세 기문제는 생 기지 않는다. 우리의 경 로기 표들은 정 확하고 망은 최소갱 신량으로 기능 
하고 있다. 이것은 련결상태법을 많은 수의 망토막들에도 쓸수 있게 한다. 최대도약수는 
127이지만 실제적인 정황에 따라 더 적을수도 있다. 

련결상태경로조종에서의 보안 

대부분의 련결상태경로조종규약들은 동적경로갱신이 원천에 대하여 어떤 준위의 인 
증을 지 원 한다. 이 기 능을 거 리 벡 토르법 과 결 합하는것 도 불가능하지 는 않지 만 대 부분의 
거리벡토르규약들은 경로조종표갱신을 인증할 필요성을 느끼지 못하였다. 인증은 매 경 
토기 가 믿 음직한 호스트로부터 의 경 로조종표갱 신만을 접 수하도록 담보하는 훌륭한 수단 
으로 된다. 인증은 100% 안전하지는 못하지만 그것은 믿을수 있는 매 호스트로부터의 
하나의 알림이다. 

실례 로 OSPF 는 두가지 준위 의 인증 즉 통과암호와 통보문요약 ( digest ) 이 다. 통과암 
호인증은 경 로표정보를 교환하는 매 경 로기 가 통과암호를 가질 것 을 요구한다. 하나의 경 
토기가 다른 경로기에로 OSPF 경로정보를 보내려고 할 때 그것은 통과암호렬을 확인으로 
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포함한다. OSPF 를 리용하는 경 로기 는 전송에 통과암호렬 이 포함되 여 있지 않으면 경 로 
표갱신을 접수하지 않는다. 이것은 표갱신이 믿을수 있는 호스트로부터만 접수되도록 담 
보하는데 도움이 된 다. 이 인증방법 의 결 함은 통과암호가 평문으로 전송된 다는것 이 다. 
이것은 망분석기를 가지고 망을 감시하고 있는 한 공격자가 OSPF 표갱신들을 잡고 통과 
암호를 발견 할수 있 다는것 을 의 미한다. 통과암호를 아는 공격 자는 그것 을 리용하여 믿 음 
성 있는 OSPF 경로기로 가장하고 가짜경로정보들을 전송할수 있다. 

통보문요약은 그것이 통과암호정보를 유선으로 교환하지 않는다는 점에서 보다 안전 
하다. 매 개 OSPF 경 로기 는 통과암호와 열 쇠 -식 별 자를 가지 고 있다. OSPF 표갱 신을 전송 
하기전에 경 로기 는 일의 적인 통보문요약을 생 성하기 위한 알고리 듬을 리용하여 OSPF 표 
정 보，통과암호，열 쇠 -식 별 자를 처 리하여 이 것 들을 파케 트의 뒤 에 붙인다. 통보문요약은 
표를 전송하는 경로기를 믿을수 있는 호스트로 간주할수 있는 암호화된 확인방법을 제공 
한다. 목적 지경 로기 가 그 전송을 받을 때 그는 통과암호와 열쇠 -식 별자를 리용한다. 통 
보문이 인증되면 경로조종표갱신이 접수된다. 


일러두기 

OSPF 에서 리용된 암호를 깨는것은 가능하지만 그렇게 하는데는 시간이 걸리고 처 
리능력 이 소비 된 다. 이 로 하여 통보문요약을 가지 는 OSPF 는 동적경 로정 보를 갱 신 
하기 위한 훌륭한 선택 으로 된다. 


접속 및 무접속령통신 

지 금 체 계 들은 같은 론리 적망에 위 치 하고 있는가에 관계 없 이 점 A 로부터 점 B 에 로 
정보를 전송할수 있다. 이제 다음의 문제가 제기된다. 《일단 우리가 목적을 이루면 어 
떻게 적당한 대화를 계속할것인가?》, 이것은 전송층에 관한 문제이다. 

전송층은 우리 가 통신례법 의 규칙 들을 설정 하기 시 작하는 곳이 다. 한 체 계 로부터 다 
른 체계에로 정보를 넘기는것으로는 불충분하다. 또한 두 체계가 같은 수준의 례법으로 
동작하도록 보장하여 야 한다. 

망통신례법에는 다음의 두가지 형태가 있다. 

• 접속형통신 

• 무접속형통신 

접속령통신 

접 속형 통신은 자료를 전송하기 에 앞서 련결신호 ( handshake ) 라고 하는 조종정 보들을 
교환한다. 전송층은 련결 신호를 리용하여 목적 지 체 계 가 정 보를 수신할 준비 를 갖추도록 
보장한다. 접 속형교환은 또한 자료가 원래 의 순서 로 송신되 고 수신되 도록 담보한다. 

모뎀들은 어떤 정보를 보내기에 앞서 접속속도를 협상하여야 하므로 접속형통신의 
사용자들이 라고 볼수 있 다. 망에 서 이 기 능은 IP 나 AppleTalk 에 서 기 발이 라고 부르는 전 
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송층마당의 리용을 통하여 실현된다. IPX 에서는 련결조종마당이라고 부론다. IP 가 경로 
조종규약의 기 초라면 TCP 는 접 속형 통신을 만드는데 리 용된 다. IPX 는 SPX 를 리용하고 
AppleTalk 는 ATP 를 리 용하여 이 기 능을 제 공한다. 통신대 화가 시 작될 때 응용층(반드시 
당신 이 리용하는 프로그람은 아니 라도)은 접 속형규약이 필 요한가를 결정한다. 

Telnet 는 이 러한 한가지 응용프로그람이 다. Telnet 대화가 시작될 때 응용층은 련결의 
믿 음성 을 더잘 담보하기 위하여 그것의 전송봉사로서 TCP 를 요구한다. 련결 신호가 어 떻 
게 동작하는가를 보기 위하여 이 대화가 어떻게 확립되는가를 고찰하자. 

TCP 3 -파케트련결신호 

콤퓨터에서 원격접속을 설정하기 위 하여 Telnet thor. foobar. com 이라고 건반입력한 
다고 하자. 이 요청이 전송층을 통과할 때 두 체계를 련결하는데 TCP 가 선택되여 접 
속형 통신 이 확립 될 수 있다. 전송층은 동기 화기 발 (SYN) 을 1 로 설정 하고 다른 모든 기 
발들은 0 으로 설정한다. IP 는 여 러개의 기 발마당을 리용하되 2 진체 계를 리용하여 값들 
을 설정 한다. 

SYN 을 1 로 설정 하고 다른 마당들은 모두 0 으로 설정하면 다른쪽의 체 계는 
(thor.foobar.com) 우리 가 그 체 계와 새 로운 통신대 화를 설정 하려 고 한다는것을 알게 된 
다. 이 요청 이 다음에 나머지 층들을 통과하고 원격체계에 도착하여 그쪽의 OSI 층들을 
따라 올라 가게 된다. 

원격체계에 봉사가 준비되여 있다면 이 요청은 접수되고 응답되는데 전송층에 도착 
할 때까지 그 탄창을 따라 전송된다. 전송층은 원래의 체계가 그러했던것처럼 SYN 기발 
을 1 로 설정 하고 응답기발 (ACK) 도 1 로 설정한다. 이것은 원래의 체계 에 자기의 전송이 
수신되였으며 자료전송이 0 K 이라는것을 알게 한다. 이 요청은 탄창을 통과하여 선을 따 
라 원래의 체계에로 전송된다. 

원래의 체계는 다음에 SYN 기발을 0 으로 하고 ACK 기발은 1 로 하여 이 프레임을 
Thoi •에 도로 전송한다. 이것은 Thor 에게 《나는 당신의 응답에 답례를 보내며 자료를 보 
내려고 한다.》라는것을 알리는것이다. 이 점에서 자료가 전송되게 하며 매개 체계는 자 
기 가 수신한 매 파케트에 대 하여 하나의 답례를 전송하여 야 한다. 
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그림 3-10. 접속형통신의 한가지 실례 





그림 3-10 은 Loki 라는 체계로부터 Thor 라는 체계에로의 하나의 telnet 대화를 보여 준 
다. 매행은 한 체계 로부터 다른 체계 에 로 전송된 하나의 프레 임 을 표현한다. 원천 및 목 
적지체계가 제시되여 있고 그 프레임에 대한 개요정보가 제시되여 있다. 첫 3개의 프레 
임은 telnet 가 아니 라 TCP 프레 임 이며 이것들은 우에서 설명된 련결을 수행 한다. TCP 가 
일단 련결을 설정하면 telnet 는 요구되는 자료전송에 착수할수 있다. 대화에서 뒤에 나타 
나는 TCP 프레 임 들은 답례 를 위한것 들이 다. 언급된바와 같이 접 속형규약에 서는 매 프레 
임 에 대 하여 답례 를 보내 야 한다. 프레 임 이 만일 정 보를 위한 요청이 였 다면 응답은 요청 
된 정보를 전송하는 형태일수 있다. 그러나 만일 응답을 요구하지 않는 프레 임 이 보내졌 
다면 목적지체계는 그 프레임이 수신되였다는 답례를 보내야 한다. 

아직 련결신호와 접 속형 통신에 대 하여 애 매한것 이 있 다면 한가지 비 유를 보기 로 하 
자. 한 사람이 친구를 찾아서 그에게 토요일 밤에 망모임 이 있으니 자기의 콤퓨터로 참 
가할것을 알리 려고 한다고 하자. 그는 다음의 절차로 움직 인다. 

• 친구의 전화번호를 돌린다 ( SYN =1, ACK =0). 

• 친구가 전화를 들고 말한다. 《 여 보시 오.》 ( SYN =1, ACK =1) 

• 그가 대 답한다. 《 안녕 한가， F . 나는 D 요.》 ( SYN =0, ACK =1) 

그는 다음에 모임 에 대 한 자료를 전송하기 시 작한다. 그가 잠간 중지할 때 마다 F 는 
어떤 정보를 전송하든지 (《예，토요일 저녁에 시간이 있습니다.》등) 또는 자기가 수화 
기를 놓지 않았다는것을 알리기 위한 응답신호 ( ACK ) 를 어떤 형 태로 보낼것 이 다. 

대화가 끝나면 그는《안녕히》라고 하고 련결을 끊게 되는데 이것은 서로 대화가 
끝나고 전화를 끊어 도 된 다는것 을 알리 기 위한 련결신호이 다. 전화를 놓으면 이 접 속형 
통신대화는 완성 된 다. 

접속형통신의 목적은 간단하다. 이것은 아래 층들이 덜 안정하다고 간주될수 있을 때 
믿음성 있는 통신대화를 제공한다. 전송층에서 믿음성 있는 련결성을 보장하는것은 자료 
가 손실될수 있을 때 통신의 속도를 높이는데 도움이 된다. 이것은 재전송프레임이 만들 
어 지고 전송되기전에는 그 자료가 응용층까지의 모든 경로를 통과하지 못하기때문이다. 
이것은 적은 량의 잡음이 나 횡 단선에 의하여 통신대화가 죽을수 있는 모뎀통신에서 중요 
하지 만 망에 기 초한 통신에 서보다는 유용하지 못하다. 

무접속령통신 

무접 속형규약에 서는 매 파케 트에 대 하여 초기 의 련결신호나 답례 를 보낼 것 을 요구 
하지 않는다. 무접 속형전송을 리용할 때 그것 은 최 선의 노력 으로 자료를 전송하되 응 
용층답례와 같은 다른 층들의 안전성에 기초하여 자료가 믿음성 있게 전송된다는것을 
담보한다. IP 의 사용자데 타그람규약 ( UDP ) 과 IPX 의 NetWare 핵 심 규약 ( NCP ) 은 무접 속 
형전송의 실 례 들이 다. 이 두 규약은 무접 속형 통신을 리용하여 경 로정 보와 봉사기 정보 
를 전송한다. AppleTalk 는 자료대 화에 서 는 무접 속형 통신을 리용하지 않고 이 름결 합규 
약 ( NBP ) 을 가지는 봉사기를 공시할 때 이것을 리용한다. 방송들은 항상 무접속형전송 
을 리용하여 전송된 다. 
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그림 3-11. NFS 는 무접 속형 대화를 하는데 UDP 를 리용한다. 


무접속형통신의 한가지 실례로서 그림 3-11 의 망파일체계 ( NFS ) 부분을 검사해 보자. 
NFS 는 IP 에서 파일공유를 가능하게 하는 봉사이다. 그것은 자기의 전송층규약으로서 
UDP 를 리용한다. 모든 자료답례 는 추가정 보에 대 한 요청 형 태 로 되 여 있 다는것 을 알수 
있다. 목적지체계 ( Thor ) 는 원천체계 ( Loki ) 가 추가정보를 요청하면 마지막파케트가 수신 
되 였 다고 가정한다. 반대 로 만일 Loki 가 Thor 로부터 응답을 받지 못한다면 NFS 는 그 정 
보를 다시 요청하게 된 다. 만일 많은 재 전송을 요구하지 않는 안정한 련결 을 가지 고 있 
다면 NFS 가 오유수정을 하도록 하는것이 매우 효과적인 통신방법으로 된다. 왜냐하면 
그것은 불필요한 답례를 하지 않기때문이 다. 

이러한 통신형태가 앞에서 본 접속형통신과 어떻게 다른가를 알기 위하여 또 하나의 
비유를 보기로 하자. 이번에도 D 가 F 를 찾아서 토요일 저 녁에 있는 망모임 에 초청한다 
고 하자. D 는 표의 번호를 돌리는데 이번에는 전화자동응답기로 찾는다. 그는 모임이 언 
제 열리며 무엇 이 있어 야 하는가 하는 상세한 통보를 거기 에 남긴다. 

F 가 대 답하던 첫번째 경우와 달리 D 는 지금 다음의 내용들에 의거 하고 있다. 

• 이 번호가 F 의것이라는것을 확인하지 못했어도 정확한 전화번호를 돌릴수 있 
는 자기의 능력 

• 통신도중에 전화회사가 그의 전화련결을 끊지 않는다는 사실 

• 자동전화응답기가 레프를 끊지 않고 통보문을 기록한다는것 

• 표의 고양이 가 테 프와 톨을 분간하는 능력 

• 전원고장이 없다는것 (전원고장은 통보문을 잃게 할수 있다.) 

• 지 금과 모임날자사이 의 기 간에 F 가 이 통보문을 볼것 이 라는것 

알수 있는바와 같이 그는 친구가 그 통보문을 실례로 수신할것이라는 실제적 인 확신 
을 못 가지고 있다. 그는 관가 그 통보를 적당한 시 간에 볼수 있도록 할것을 전기회사나 
전화자동응답기 등에 기대하고 있는것이다. 

만일 그가 자료전송의 믿음성을 담보하려 고 하였다면 그는《목요일에 회 답을 바 
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탐》이라는 형태로 응용층답례요구를 보낼수 있을것이다. 만일 응답을 받지 못했다면 그 
자료를 다시 전송할수 있다. 

그러면 접속형통신과 무접속형통신중에 어느것이 더 리용하기 좋은 전송인가? 아쉽 
게 도 그 대 답은 응용층이 지 적 하는것 이 다. 만일 telnet 가 TCP 를 원한다면 그것 이 UDP 를 
쓰도륵 강요할수 없다. 

보안문제 

접 속형 통신의 기 발마당을 잘 리용한 한가지 기 술은 방화벽 이다. 방화벽 은 기 발마당 
의 정 보를 리 용하여 련결 이 내 부의 것 인가，외 부의 것 인가를 결정하며 자기 의 규칙 표에 따 
라 그 런결을 허용 또는 거부한다. 

실례 로 방화벽규칙 이 내 부사용자는 인터네 트로 접 근할수 있도록 허 용하고 외 부사용 
자가 내부체계를 접근하는것을 막는다고 하자. 이것은 매우 일반적인 보안방책이다. 

이것을 어떻게 실행할것인가 

내부자료흐름들을 모두 막는것은 내부사용자들이 자기들의 자료요구에 대한 응답을 
받는것 을 항상 금지하는것 으로 되 므로 불가능하다. 들어 오는 응답들은 허 용하면서 외 부 
체계가 내부체계와의 련결을 설정하는것은 거부하는 어떤 방법이 필요하다. 이 비밀은 
바로 TCP 기발들에 있다. 

TCP 에 기초한 대화에서는 자료를 전송하기전에 련결신호가 필요하다는것을 알고 있다. 
만일 SYN 마당에는 1을 설정하고 다른 모든 마당들에는 0을 설정한 모든 들어 오는 프레임 
들을 막는다면 외부사용자가 내부체계와 하나의 련결을 설정하는것을 막을수 있을것이다. 
이 설정 들은 초기 련결 신호에 서만 리 용되 고 전송의 다른 부분에 서 는 나타나지 않으므로 그 
것은 외부사용자를 막는 효과적인 방법으로 된다. 외부사용자가 내부체계에 련결할수 없으 
면 그들은 자료를 전송할수 없거 나 또는 그 체계로부터 자료를 꺼 내갈수 없다. 


주 의 

많은 방화벽들은 모든 UDP 련결을 거부한다. UDP 는 기발마당을 가지고 있지 않으 
며 대 부분의 방화벽 들은 자료가 련결요청 인지，응답인지 를 결정하는 효과적 인 방법 
을 가지 고 있지 못하다. 이 로 하여 동적파케트러 과방화벽 이 생겨 나고 널 리 쓰이 게 
되 였 다. 이 것 들은 모든 련결 대 화들을 감시 하고 기 억한다. 동적파케 트려과를 리용하 
면 외 부호스트로부터 오는 UDP 파케 트를 그 호스트가 이 전에 UDP 를 리용하는 정 보 
를 위하여 질문된적 이 있을 때 에만 허용하는 려과규칙을 만들수 있다. 이것은 들어 
오는 UDP 응답들만이 방화벽을 통과하는것을 담보한다. 파케트려과 또는 어떤 대리 
방화벽 들은 TCP 련결에서만 효과적 으로 동작하지만 동적파케트러 과방화벽 은 UDP 및 
안전하게 통과시킬수 있다. 
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우리는 지금 두 원격체계가 갈은 준위의 통신을 리용하고 있다는것을 확신할수 있다. 
이제는 봉사기에게 우리가 무엇을 원하는가를 어떻게 알리겠는가? 를퓨터는 Is 에 수 
많은 요청을 처리할수 있는 강력한 도구이지만《당신은 내가 무엇을 말하는지 아는 
가?》라는 물음에서는 아직 문제를 가지고 있다. 그러므로 우리가 무엇을 원하는가를 
체계가 정확히 알도록 하는 방법이 있어야 한다. 

무엇을 원하는가를 콤퓨터가 알도록 담보하기 위하여서는 대화층을 들여 다 보아야 
한다. 


주 의 

대화층에 대한 고찰로부터 그것이 봉사요구를 적당히 형식화하는데 책임이 있는 층 
이라는것을 알수 있을것이다. 


봉사란 봉사기에서 돌아 가는 처리 또는 응용프로그람으로서 그것은 망사용자에게 
어떤 리득을 제공한다. 전자우편은 가치 있는 봉사의 한가지 좋은 실례로 된다. 우편의 
퇴기를 가지고 체계에 련결할 때 그 체계는 우편통보문들을 대기하고 있게 된다. 파일 
및 인쇄기공유도 망봉사의 실례로 된다. 

봉사는 특정의 포구 또는 소케트에 접속함으로써 호출된다. 포구는 체계에 있는 가 
상적인 우편홈으로 생각할수 있다. 개별적인 우편홈(포구번호)은 체계에서 돌아 가는 매 
봉사 또는 응용프로그람들에 배당된다. 사용자가 하나의 봉사를 호출하려고 할 때 대화 
층은 그 요청이 정확한 우편홈 또는 포구번호에 도달하도록 담보할 책임을 진다. 

UNIX 또는 NT 체계에서 IP 포구번호들이 하나의 파일로서 봉사들에 사상된다. 봉사 
파일들에 대한 간단한 내용을 표 3-6 에 보여 준다. 첫렬은 봉사의 이름，두번째 렬은 포 
구와 리용되 는 전송이다. 세번째 렬은 그 봉사에 의하여 제 공되 는 간단한 기 능서 술이 다. 
표 3-6 은 몇가지 IP 봉사들에 대한 간단한 목록이다. 보다 많은 정보를 얻으러면 
RFC 1700 을 참고하면 된다. 


주 의 

이 포구번호들은 UNIX 에 관한것 이 아니 다. 실례 로 SMTP 를 리용하는 조작체 계 는 
포구 25를 리용하여 야 한다. 


표 3-6 에 요약된 파일들에 따르면 포구 23에서 수신된 TCP 요청은 telnet 대화인것 
으로 가정되 며 원격접 근을 취 급하는 응용프로그람에 보내 진다. 만일 요청된 포구가 
25이 면 우편봉사가 요청되 여 그 대 화는 우편프로그람에 보내 진다. 

표 3-6 의 파일들은 인터 네트데몬 ( inetd ) 이라고 하는 처리에 의 하여 UNIX 체계에서 리 
용된 다. inetd 는 UNIX 체 계 의 매 개 목록화된 포구들을 감시 하며 그 포구에 봉사를 제 공하 
는 응용프로그람을 촉발시켜 주는 책임을 지고 있다. 이것은 자주 호출되지 않는 포구들 
에 대하여 체계를 관리하는 한가지 효과적인 방법이다. 이 과정은 봉사가 실지로 필요할 
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주 의 

사실표준이란 규정이나 법에 의해서가 아니라 대중성에 의하여 결정되는 표준을 말 
한다. 


포구 0 ~ 1023은 인터네 트번호위 임기 구 ( IANA ) 에 의하여 가장 잘 알려 진 봉사들용 
으로 정의되였다. 포구들은 7200까지 지정되였으나 1024아래의 포구들이 인터네트통신에 
서 많이 쓰인다. 이 배 당은 엄격한 규칙은 아니며 오히 려 누구나가 같은 포구에서 공개 
적인 봉사를 제공하도록 담보하게 되여 있는것이다. 실례로 만일 Microsoft 의 Web 페지로 
접 근하려 고 한다면 그 봉사가 포구 80에서 제공된다고 가정할수 있다. 왜 냐하면 이것 이 
그 봉사에 대 하여 잘 알려 진 포구이기 때 문이 다. 

체계 가 정 보를 요구할 때 그것은 접근하려는 포구를 지적할뿐아니 라 요청된 정보를 
돌려 줄 때 어 느 포구를 리용하여 야 한다는것 도 지 적하여 야 한다. 이 과제 를 위한 포구 
번호들은 1024로부터 65535까지 에 서 선택되 며 웃포구번호라고 부론다. 

이것 이 어떻게 동작하는가를 보기 위하여 그림 3-10 의 telnet 대화를 다시 고찰하자. 
Loki 가 Thor 와 telnet 대화를 설정하려고 할 때 이것은 Thor 의 포구 23에 접근하여 수행될 
것 이 다(포구 23은 telnet 를 위 한 잘 알려 진 포구이 다.). 만일 프레 임번호 2를 본다면 
Thor 가 포구 1042로 답례 ( ACK ) 를 보내 고 있 다는것 을 알수 있 다. 그것 은 Loki 가 Thor 에 
게 보낸 원래 프레 임의 대 화정보가 1042의 원천포구와 23의 목적지포구를 지적 하고 있기 
때문이다. 목적지포구는 프레임이 가고 있는 곳이며 ( Thor 의 포구 23) 원천지포구는 응답 
을 보낼 때 어느 포구가 리 용되여야 하는가 하는것이다 (Loki 의 포구 1042). 포구 23은 
잘 알려 진 봉사포구이며 포구 1042는 응답에 리용되는 웃포구번호이다. 

웃응답포구들은 동작중에 지정된다. 포구들이 준비되였는가에 따라 지정되므로 체계 
가 정보요청할 때 그것을 어느 포구로 수신할것 인가를 예측하는것은 거의 불가능하다. 
이로하여 방화벽목적으로 리용된 파케트려과기들은 때로 1023우의 포구들이 응답을 받기 
위하여 모든 시 간 열 려 있 도륵 부정 확하게 설 정한다. 

이것은 잘 알려 진 포구가 아닌 한 포구가 어떻게 하나의 봉사를 제공하는데 리용 
될 수 있는가에 대 한 리유들중의 하나를 제 공하는것 으로 된 다. 파케 트려과가 자기 의 체 
계에서 돌아 가는 Web 봉사기에 대한 접근을 막는다는것을 알고 있는 사용자는 그 봉사 
를 80()1 과 같은 웃포구번 호에 배 당할수 있다. 련 결 이 포구 1023우에 서 이 루어 지 므로 
그것은 막히지 않는다. 그 결과로 내부 Web 싸이트를 금지하는 보안방책과 그 집행을 위 
한 파케 트려과기 가 있음에 도 불구하고 이 사용자는 URL 에 따라 포구번호 (8001) 를 쓰는 
한 자기 의 Web 싸이트를 성 과적 으로 광고할수 있게 된 다. 이 URL 은 다음과 같이 쓸수 
있 다. 


http : // thor . foobar . com : 8001 

:80이은 Web 열 람기 가 80대 신에 포구 80()1 을 리 용하여 그 봉사기 로 접 근하여 야 한 
다는것을 지적한다. 대부분의 파케트려과기는 가입등록기능이 좋지 못하므로 《내부 
Web 싸이트금지》라는 방책 을 집 행하는데 책 임 있 는 망관리 자는 아마 우연히 마주치 지 
않는 한 그것이 존재한다는것을 결코 알수 없을것이다. 
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일러두기 


당신의 책 임 자가 Web 을 돌아 다니 면서 시 간을 랑비한다고 당신을 추궁한다면 다음 
과 같이 말하는것 이 좋다. 《나는 우리의 보안방책에 맞지 않는 배신적 인 내부싸이 
트들에 로의 련결을 추적하여 보안검 열 을 수행 하고 있 다. 이 사업 은 우리 의 방화벽 
체계가 불충분하기때문에 제기된다.》만일 당신이 그 자리에서 파면 당하지 않는 
다면 그 사건이 책 임 자의 머 리 속에 서 잊혀 지 기전에 빨리 새 로운 방화벽 을 구입하 
자고 제 기하면 된 다._ 



그림 3-12. 이것이 표준우편전송처럼 보이지만 그것은 사실상 
목적지체계 에로의 한 우편통보문을 가짜로 만드는것 이 다. 

포구번호를 바꾸는 문제 를 보기 위하여 그림 3-12 에 서 그 대화를 찾아 보자. 그 대 
화가 단순우편전송규약 ( SMTP ) 이 므로 그것 은 사실상 포구 25( SMTP 를 위 한 잘 알려 진 
포구)에 지적된 telnet 대화이다. 우리는 이 대화를 기록하는 분석기를 속여서 우리가 그 
저 다른데로 우편을 전송하는 하나의 우편체계를 가지고 있다고 생각하게 하였다. 대부 
분의 방화벽 들은 진행 중의 대 화를 식 별 하기 위하여 목적 지포구를 리용하므로 같은 방식 
으로 속게 될것이다. 그들은 동반되는 실제적인 응용프로그람을 보지 않는다. 이러한 활 
동형식 은 누군가를 속이 는것 또는 우편통보문을 위 조하는것 과 류사하다. 일 단 내 가 원격 
우편체 계 에 련결 되 였 다면 나는 어 디 선가 오는 통보문인것 처 럼 가장할수 있다. 우편머 리 
부에 있는 경로정보가 검사되지 않는 한(사용자에게 친절한 대부분의 우편프로그람들은 
이 정보를 그저 버린다.) 이 정보의 실제적 인 원점은 추적될수 없다. 

이 러 한 기 만행 위 때 문에 침 입 검 출체 계 ( IDS ) 가 생 겨 나고 퍼 지 게 되 였 는데 이 체 계 
는 이러한 형태의 활동들을 잡도륵 프로그람화되였다. 그림 3-12 를 다시 보고 이번에 
는 전송체 계 가 리용한 프레 임 크기 를 검 사해 보자. 전송된 가장 큰 프레 임 은 122 byte 이 
다. 이것은 telnet 대화임을 가리 킨다. 그것은 telnet 가 타자된 매 문자에 대 하여 답례 할 
것을 요구하기때문이다. 이것이 자료를 전송하는 실제적인 우편체계였다면 우리는 
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1500 byte 에 가까운 파케트크기를 보았을것 이다. 그것은 SMTP 는 하나의 문자가 하나의 
프레임으로 전송될것을 요구하지 않기때문이다. 좋은 IDS 는 이러한 불일치를 찾아 내 
도록 조정 될 수 있다. 

그림 3-13 은 이 거 짓 대 화의 마지 막출구를 보여 준다. 머 리부정보없 이 이 통보문이 
bgates @ microsoft . com 로부터 왔다는것 을 믿 을수 있 다. 그 통보문이 Microsoft 령 역 안의 우 
편체 계 에 의하여 접 촉되지 않았다는것은 그것 이 가짜라는것 을 의 미한다. 이것은 이 전에 
인터네 트의 보안문제 를 강의할 때 리 용된 실례 이 다. 읽 은것 특히 그것 이 인터네 트로부터 
읽은것이라면 다 믿지는 말아야 한다. 


! ■며 f ， 할， ■ 避•拜 힘， I 피 t)> 


lived ： l£Atf 增 e»etct C 丄 o 뇨 [lfl.2.2^201] 


E T^h 7991 

r^mi CliU 

Begawse-Id : < 9S2 14 1. 디 AlHO ■•개 tboc 』 foafcKr. cnn> 

Subject : Ouatoe F-iEt7 


그림 3-13. 거짓우편통보문의 출력 

체계들사이의 류사한 대화들을 구별하는데 포구번호들이 리용될수도 있다. 실례로 
그림 3-10 을 보자. 여기서는 이미 Loki 로부터 Thor 에게로 가는 하나의 telnet 대화를 가지 
고 있다. 만일 4개 또는 5개의 대화들이 만들어 진다면 어떤 일이 생길것인가? 모든 대 
화들은 다음의 정보들을 공통적 으로 가진다. 

원천 IP 주소 : 10.2.2.20( loki : foobar . com ) 

목적지 IP 주소 : 10.2.2. 10 ( thor . foobar . com ) 

목적 지포구 : 23 ( telnet 용으로 잘 알려 진 포구) 

원천포구들은 매 개별적인 대화를 식별하는데 리용될수 있는 유일한 구별정보이다. 

첫 련결은 이미 자기의 련결을 위하여 원천포구를 1042로 지적하였다. 그후에 설정 
되는 매개 련속적인 telnet 대화는 그것을 유일 하게 식별하기 위 하여 어떤 다른 웃포구번 
호로 지정될것이다. 지정된 실제적인 번호는 원천체계에서 현재 무엇이 리용되지 않고 
있는가에 기초하고 있을것이다. 실례로 포구 1118，1398，4023 그리고 6025들이 다음번 
4개 의 대 화를 위하여 원천포구로써 리용될수 있 다. 

실제적인 응답포구번호는 사실상 문제로 되지 않는다. 그것은 어쨌든간에 두 체계사 
이 의 특정대 화를 유일하게 식 별할수 있다. 만일 우리 가 동시 에 발생하는 많은 대 화들을 
감시하고 있었다면 그 결과는 그림 3-14 와 류사하게 보일것이다. 매개 대화를 식별하는 
데 지 금 여 러개의 응답포구들이 리용되 고 있다. 
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IP 는 포구들을 리용하는 유일한 규약은 아니 다. AppleTalk 와 IPX 도 포구들을 리용하 
는데 그것을 소케트라고 부론다. 서로 다른 포구들을 식별하는데 10진수를 쓰는 IP 나 
AT 와 달리 IPX 는 16진수를 사용한다. AppleTalk 와 IPX 에서도 잘 알려 진 포구와 웃포구 
들은 IP 때와 같이 기능한다. AppleTalk 와 IPX 는 그리 많이 쓰이지 않는다. 

파일전송규약 ( FTP ): 특수경우 

지금까지 본 모든 실례들에서 원천체계는 특정봉사로 접근할 때 목적지체계에로의 
하나의 봉사련결을 만든다. 여러 사용자가 이 봉사를 요구하지 않는 한 하나의 련결대화 
만이 요구된다. 

FTP 는 한 체계로부터 다른 체계에로 파일정보를 전송하는데 쓰인다. FTP 는 전송층 
으로서 TCP 를 리용하며 통신을 위하여 포구 20과 21을 쓴다. 포구 21은 대 화정 보 (사용 
자이름，통과암호，지령들)를 전송하는데 쓰이며 포구 20은 자료포구라고 하는데 실제적 
인 파일을 전송을 하는데 쓰인다. 

그림 3-15 는 두 체 계 ( Loki 가 Thor 에 게 련결 하고 있 다. )사이 의 FTP 지 령 대 화를 보여 
준다. 대화의 시작에 있는 3-파케트 TCP 련결신호를 주목하시오. 이것은 이 장의 앞에서 
접 속형 통신을 고찰할 때 서 술되 였 다. 모든 통신들은 목적 지 포구로 21을 리용하고 있는데 
이것을 간단히 FTP 포구라고 부론다. 포구 1038은 Loki 가 응답을 받을 때 리용한 우연적 
으로 정 해 진 웃포구이 다. 이 련결 은 포구 1038에 서 Loki 에 의하여 포구 21의 Thor 에 게 
로 시작되였다. 
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그림 3-15 .두 체계사이의 FTP 지령대화 

그림 3-16 은 Loki 가 Thor 로부터의 파일전송을 시 작하고 있다는것을 보여 준다. 행 7, 
8 그리 고 9는 TCP 3-파케트련결 신호를 보여 준다. 10으로부터 24까지 의 행 은 실제 적 인 
자료전송을 보여 준다. 

이 것은 좀 이 상한 점 을 가지 고 있 다. Loki 와 Thor 는 그림 3-15 에 서 본것 처 럼 아직 
포구 "38 과 21우에 서 적 극적 인 대 화를 하고 있다. 그림 3-16 은 그림 3-15 에 서 보여 준 
것과 병렬로 진행되는 두번째의 개별적인 대화이다. 이 두번째 대화는 실제적인 파일 또 
는 자료를 전송하기 위하여 시 작된 다. 
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그림 3-16. FTP 자료대화 


이 련결 에 대 하여 좀 이 상한것 이 있다. 행번호 7을 자세 히 보시 오. Loki 가 아니 라 
Thor 가 실례로 파일정보를 전송하기 위하여 TCP 3-파케트련결신호를 시작하고 있다. 
Loki 는 포구 21로 원래의 FTP 지령대화를 시작할 책임이 있지만 Thor 는 실제적으로 FTP 
자료대화를 시작하고 있는것이다. 

이것은 인터네트에 로의 FTP 대 화를 지원하기 위 하여서는 포구 20의 인터네트호스트 
로부터 내부망에로의 련결이 확립되도록 허용하여 야 한다는것을 의미한다. 만일 우리의 
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방화벽장치 가 내 부로의 자료흐름을 위한 원천포구를 정 의할수 없게 한다면 1023우의 모 
든 포구들을 완전히 열어 놓아야 한다. 이것은 정확히 말하여 가장 안전한 보안자세로는 
되지 못한다. 


피동 FTP 

피동 FTP 라고 부르는 (PASV FTP ) FTP 전송의 두번째 형식도 있 다. 피동 FTP 는 포구 
21을 통하여 지령을 보낸다는 점에서는 표준 FTP 와 같다. 피동 FTP 와 표준 FTP 사이의 차 
이는 어떻게 자료대화가 시작되는가 하는데 있다. 피동 FTP 는 대부분의 Web 열람기들에 
서 지원 하는 방식이다. 

자료를 전송하기전에 의뢰기는 PASV 방식의 전송을 요청할수 있다. 만일 FTP 봉사기 
가 이 요청에 답례한다면 의뢰기는 봉사기대신에 TCP 3-파케트련결신호를 시작할수 있 
게 허 가된다. 그림 3-17 은 피동 FTP 를 리용하는 두 체 계를 보여 준다. 파케트 21은《 이 
를퓨터》(또는 FTP 의 뢰 기)가 PASV FTP 를 요청 하고 있는것을 보여 준다. 파케 트 22에서 
FTP 봉사기 가 응답하여 PASV 방식 이 시 작된다는것을 알린다. 



그림 3-17. 피동방식의 FTP 대화 


파케 트 23에서 무엇 이 일 어 나는가를 보자. FTP 의뢰기 는 자료를 전송하기 위하여 
TCP 3 -파케트련결신호를 시작한다. 이것은 한 문제를 해결하지만 또 다른 문제가 생기게 
한다. 의뢰기가 그 대화를 시작하기때문에 우리는 지금 포구 20으로부터 들어 오는 접근 
을 막을수 있다. 이것은 내부로의 보안방책을 좀 엄격히 하게 한다. 그러나 이 피동대화 
를 시 작하기 위하여 의뢰기는 원천과 목적지용으로 우연적 인 웃포구번호를 사용하고 있 
다는데 주목하여야 한다. 이것은 PASV FTP 를 지원하기 위하여서는 바깥쪽으로의 대화 
는 모두 1023우의 포구들에 서 설정되 게 하여 야 한다는것 을 의 미한다. 만일 바깥쪽으로의 
인터네트접근을 조종하려고 하는것은 그리 좋은 보안자세가 아니다(인터네트게임을 금지 
하는것과 갈다.). 
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관리 자들이 방화벽 이 나 망주소변환장치 ( NAT ) 를 리 용할 때 또 하나의 문제 가 생 길 
수 있다. 그 문제 는 FTP 가 두개 의 분리 된 대 화를 사용한다는 사실 을 기 본내 용으로 하 
고 있다. 


주 의 

NAT 는 IP 주소를 사설번호로부터 법적번호로 변환할수 있게 한다. 이것은 자기 망 
에 서 사용하고 있는 IP 주소가 ISP 에 의하여 배 당된것 이 아닐 때 유용하다. NAT 에 
대하여서는 제5장의 방화벽을 론의 할 때 더 보기로 한다. 


인터네 트상에서 큰 파일 하나를 ( Microsoft 로부터 의 60 MB 짜리 최 신접 속파일 이라고 하 
자.) 전송하고 있는 동안 포구 20에로의 조종대화는 조용하다. 이 대화는 파일을 전송하 
는 동안 그 전송이 끝날 때까지 아무 정보도 전송하지 않아도 된다. 일단 그것이 끝나면 
체계는 그 파일 이 그대 로 수신되 였다는것을 조종대화를 통하여 답례한다. 

그 파일 을 전송하는데 많은 시 간이 걸 렸 다면(약 한시 간이 상) 방화벽 또는 NAT 장치 
는 그 조종대 화가 더 는 정 상이 아니 라고 가정할수 있 다. 그 장치 는 두 체 계사이 에 서 오 
래동안 자료전송을 보지 못하였 으므로 련결 이 끊어 졌 다고 가정 하고 자기 의 표에 서 그 
대화항목을 지워 버린다. 이것은 잘못된것 이 다. 일단 파일전송이 끝나면 체계는 그 파일 
이 수신되 였다는것을 담보하기 위한 련결신호에 의미를 가지지 않는다. 이 문제의 대 표 
적 인 증세는 파일을 전송 또는 수신하는 의뢰기 가 99%는 련결되 여 있다는것 이 다. 

다행 히 도 대 부분의 제 작자들은 이 시 간한계 설정 을 조절할수 있게 하고 있다. 만일 
이 러 한 증상을 경 험 하고 있 다면 자기 의 방화벽 또는 NAT 장치 를 검 사하여 그것 이 TCP 시 
간한계설정을 가지고 있는가를 알아 보는것이 좋다. 만일 그렇다면 간단히 그 값을 증가 
시키면 된다. 대부분의 체계들은 시간한계값을 한시간으로 정하고 있다. 

다른 IP 봉사 

많은 응용프로그람봉사들은 또를 리용하도록 설계 되 였 다. 어 떤것 은 정 보를 전송하는 
데서 말단사용자를 돕도록 설계되 였으며 또 다른것 들은 IP 그자체 의 기능을 지 원하도록 
만들어 졌다. 가장 일반적 인 봉사들중의 일부를 아래에 서술한다. 


부트규약 ( bootp ) 과 동적호스트구성규약 ( DHCP ) 

호스트체 계 에 IP 주소를 지 정 하는데 는 3가지 방법 이 있 다. 

수동식 사용자가 특정 의 주소를 리용하여 수동적 으로 IP 호스트를 구성한다. 

자동식 봉사기 가 설치과정 에 자동적 으로 특정주소를 호스트에 배 당한다. 

동 적 봉사기가 설치동안에 동적으로 호스트에 주소들을 배당한다. 

수동식방법은 시 간이 걸 리지 만 고장에 안전하다. 그것은 매 IP 호스트체 계 가 IP 를 리 
용하여 통신하는데 필요로 하는 모든 정보들을 가지 고 구성될것을 요구한다. 수동식방법 
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은 같은 IP 주소를 유지하여야 하는 체계 또는 IP 주소봉사기가 접근할수 있어야 하는 체 
계에서 리용하기 가장 적당한 방법이다. Web 봉사기，우편봉사기 그리고 IP 봉사를 제공 
하는 다른 봉사기 들은 IP 통신을 위하여 보통 수동적 으로 구성 된 다. 

Bootp 는 자동주소배 당을 지원한다. Bootp 봉사기에 하나의 표가 보관되여 있는데 
그것 은 매 호스트의 MAC 번호를 가지 고 있다. 매 개 항목은 또한 체 계 에서 리 용될 IP 
주소들도 포함한다. Bootp 봉사기가 IP 주소에 대한 요청을 수신할 때 그것은 자기의 
표를 참고하여 전송하는 체계의 MAC 주소를 찾으며 그 체계에 적당한 IP 주소를 돌려 
보낸다. 이것은 모든 조작의 중심 체계 에서 수행되 므로 관리 가 간단하지 만 매 MAC 주 
소가 기 록되 여 야 하므로 아직 시 간이 걸린 다. 또한 리용되 지 않는 IP 주소공간을 해 방 
시키지 못한다. 

DHCP 는 자동 및 동적 IP 주소배 당을 둘 다 지원한다. 주소들이 동적으로 배 당될 때 
봉사기 는 준비되 여 있 는 번 호들의 공간으로부터 IP 주소들을 호스트체 계 들에 넘 겨 준다. 
자동주소배 당에 비한 동적배 당의 우점 은 하나의 IP 주소를 요구하는 호스트에만 하나가 
배 당된다는것 이 다. 일 단 끝나면 IP 주소들은 주소공간에 귀환되 여 다른 호스트에 배 당될 
수 있다. 


주 의 

한 호스트가 특정의 IP 주소를 유지하는 시간의 크기를 임대주기라고 한다. 짧은 임 
대 주기 는 하나의 IP 주소를 요구하는 체 계만이 하나를 받는다는것 을 담보한다. IP 가 
드문히 리용된다면 작은 주소공간으로 큰 호스트수를 지원할수 있다. 


DHCP 의 다른 리점은 그 봉사기가 주소정보보다 더 많은것을 보낼수 있다는것이다. 
원격호스트는 자기의 호스트이 름，기정경 로기 , 령 역이름, 국부 DNS 봉사기 등을 가지 고 
구성될수 있다. 이것은 관리자가 최소작업으로 많은 호스트들에 원격으로 IP 봉사들을 구 
성 할수 있게 한다. 

하나의 DHCP 봉사기 는 여 러개의 부분망들에 봉사할수 있다. 

DHCP 의 결함들은 다음과 같다. 

• 방송통신량이 증가된것 (의뢰기는 주소가 필요할 때 모든 망방송을 전송한다.) 

• DHCP 봉사기가 정지될 때의 주소공간안정성 

많은 체 계 들에 서 누가 망주소에 배 당되 였는가를 추적하는 표들은 기 억 기 에만 보관되 
여 있다. 체계가 멎으면 이 표는 없어 진다. 체계를 재시동하면 그전에 다른 체계에 이 
미 임대하였던 IP 주소들이 체계 에 배 당될수 있다. 이것 이 일어 나면 모든 체계 에 로의 임 
대를 다시 하거 나 임대시 간이 끝날 때까지 기다려야 한다. 


주 의 

Bootp 나 DHCP 는 둘 다 통신전송으로서 UDP 를 리용한다. 의 뢰기는 68의 원천포구 
로부터 67의 목적지포구에로 주소요청을 전송한다. 
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령역이름봉사 ( DNS ) 

DNS 는 호스트이름을 IP 주소로 넘 기며 또 그 반대 로 넘 기는 기능을 수행한다. 이것은 
Novell 의 Web 봉사기를 련결할 때 그 체계의 IP 주소를 기억할 대신에 WWW . novell . com 이 
라고 입 력하면 되 게 하는 봉사이다. 모든 IP 경 로조종은 이 름이 아니 라 주소로 진행 된 
다. IP 체 계 는 정 보를 전송할 때 이 름을 리용하지 않지 만 사람들은 이 름을 기 억 하기 가 
더 쉽다. DNS 는 원격체계 에 보다 더 쉽게 도달하기 위하여 개 발되 였 다. DNS 는 사람 
은 기억하기 쉬운 이름을 입력하고 콤퓨터가 이것을 경로조종 등에 필요한 주소정보 
로 변환하게 한다. 

DNS 는 계 층적 이고 분산적 인 구조를 가진 다. 인 터네 트에 서 하나의 DNS 봉사기 가 매 
호스트이 틈의 경 토를 유지 하는것 이 아니 다. 매 체 계 는 일정 한 지 역 에 서 만 책 임 을 진다. 

그림 3-18 은 DNS 구조가 어떻게 되여 있는가를 보여 주는 실례이다. 보기에 그것은 하나 
의 기둥에 아래쪽으로 매달린 수많은 나무와 류사하다. 이 기둥은 인터네트의 골간망을 의미 
하는것 이 아니 라 서로 다른 령역들사이의 DNS 련결성 이 존재한다는것을 지적한다. 기둥 바로 
아래에 위치한 체계를 뿌리이름봉사기라고 한다. 매개 뿌리이름봉사기는 하나 또는 몇개의 웃 
준위령역에 대하여 봉사한다. 웃준위령역의 실례로는 . com , . edu , . oag , .mil 또는 .gov 등을 
들수 있다. 으로 끝나는 매개 령역은 갈은 웃준위령역의 부분이라고 말한다. 



뿌리 이 름봉사기 는 웃준위 령역 내의 매 부분령역 을 위한 DNS 봉사기의 경 로를 유지할 
책 임을 맡고 있다. 이것들은 매 부분령 역안의 개별적 인 체 계들에 대 하여서는 알지 못하 
며 다만 그것들을 책임지는 DNS 봉사기만을 알고 있다. 매 부분령 역 DNS 봉사기는 자기 
령 역안의 모든 호스트에 대 하여 IP 주소를 추적할 책 임을 맡고 있다. 

그것 이 어 떻게 동작하는가를 보기 로 하자. 만일 foobar.com 령역의 성 원이 라고 하면 
Web 열 람기 를 돌려 서 다음의 URL 을 입 력한다. 

http : / / www. sun. com 

그러면 체계는 먼저 자기의 DNS 캐쉬 (그것을 가지고 있다면)를 검사하여 www.sun.com 
의 IP 주소를 찾아 본다. 없 다면 그는 하나의 DNS 질 문 (DNS 질 문은 그저 IP 정 보를 위한 
요청 이 다. )을 형 성하여 foobar.com 령 역안의 DNS 봉사기 들중 하나에 그 주소를 요구한다. 
그것 이 질 문한 체 계 는 ns. foobar. com 이 라고 가정 하자. 

만일 ns. foobar. com 이 이 정 보를 가지 고 있지 않다면 그는 또 DNS 질 문을 구성 하여 
그 요청을 웃준위령역 .com 에 책임이 있는 뿌리이름봉사기에로 보낸다. 그것은 여기에 
Sun 령역 이 위 치 하고 있기 때 문이 다. 

뿌리 이 름봉사기 는 자기 의 표들을 참고하고 이 와 류사한 하나의 응답을 만든다. :《 나 
는 www. sun.com 에 대 한 IP 주소를 모른다. 그러 나 나는 ns. sun.com 이 sun.com 령 역 안의 모 
든 호스트들에 대한 책임을 지고 있다는것을 안다. 그의 IP 주소는 10.5.5.1 이다. 당신의 
질문을 그 체계에로 보내시오.》이 응답은 다음에 ns.foobar.com 에로 보내여 진다. 

Ns. foobar. com 은 지금 자기가 sun. com 령역 안의 한 체계를 찾으러면 ns. sun. com 에게 
물어 야 한다는것을 안다. Ns.sun.com 은 자기의 표를 참고하여 www.sun.com 에 요청을 
보낸다. 

Ns.sun.com 은 자기의 표를 참고하여 www.sun.com 에 대한 IP 주소를 찾는다. 
Ns. sun.com 은 다음에 ns.foobar.com 에 게 그 IP 주소를 보낸다. 그러 면 Ns. foobar.com 은 
이 정보를 보관하고 그 대답을 당신의 체계에로 전송한다. 체계는 이제 이 IP 주소정보 
를 리용하여 원격 Web 봉사기 에 도달할수 있 다. 

만일 질문을 많이 하여야 한다고 생각하고 있다면 이 과정에 대한 좋은 리해를 가진 
것으로 된다. 그러나 보충적인 통신망은 하나의 체계가 인터네트의 모든 체계에 대한 
DNS 정보를 보관하는데 필요한 추가정보의 량에 비하면 매우 경제적이라고 볼수 있다. 

리해한바와 같이 DNS 는 질 문하는 동안에 캐 쉬 에 보관한 정 보를 효과적 으로 리용한 
다. 이것 은 널 리 알려 진 싸이트들을 찾을 때 통신량을 감소시키 는데 효과적 이 다. 실례 
로 foobar. com 안의 누군가가 지금 www. sun. com 에 도달하려고 시도한다면 이 체계에 
대 한 IP 주소는 ns. foobar. com 의 캐 쉬 에 보관되 여 있 다. 그러 므로 지 금 이 질 문에 직 접 
대답할수 있다. 

ns. foobar. com 이 이 정 보를 상기 하는 시 간의 크기 는 이 주소를 위 한 수명 시 간 (TTL) 
에 의하여 결정된다. TTL 은 원격이름봉사기를 관리할 책임이 있는 관리자에 의하여 설 
정 된 다(이 경 우에 는 ns.sun.com). 만일 www. sun.com 이 안정 한 체 계 라면 이 값은 30 일 
과 같은 높은 값으로 설정될수 있다. 만일 www.sun.com 의 IP 주소가 자주 변하는것으로 
알고 있다면 TTL 은 몇시 간과 같은 보다 작은 값으로 설정 될수 있다. 
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TTL 설정에 대한 경고 

TTL 설정 을 적 당히 관리하는것 이 왜 중요한가를 알기 위하여 한가지 실려 를 고찰 
하자. foobar.com 등을 위 한 우편중계 가 체 계 mail, foobar. com 으로부터 운영 독 다고 하 
자. 또한 인 터네 트로부터 그 망에 들어 오는 DNS 질 문들의 수를 감소시 키 기 4 하여 30 
일이라는 큰 TTL 값이 설정되였다고 가정하자. 마지막으로 망은 ISP 를 변경«여 인터 
네 트와 통신할 때 리용할 새 로운 IP 번호들의 모임 을 배 당 받았다고 가정 하자. 

망이 재주소화될 때 변화가 일어 난다. 즉시 사용자들은 전화호출을 받거 되는데 
그들의 주소에로 보낸 우편이 배달오유를 내고 되돌아 오고 있다고 할것이다. 그 오유 
는 서로 다른데 어떤것은 통과해 가고 어떤 우편은 오유로 없어 진다. 

무엇이 잘못되였는가? TTL 값이 30 으로 설정되였기때문에 원격 DNS 봉 !■기들은 
TTL 이 끝날 때 까지 는 낡은 IP 주소를 기 억할것 이 다. 어 떤 사람이 변화가 : i 기 전에 
foobar.com 령 역 에 우편을 보냈다면 그것은 그들의 DNS 봉사기 가 다른 하나의 질문을 
만들고 그 IP 주소가 변화되였다는것을 알기 30 일전일수도 있다. 게다가 이 벽 화에 가 
장 크게 영 향 받는 령역은 우편을 가장 많이 교환하는것들이 다. 

이 문제를 푸는데는 두가지 방至가 있다. 

1. 그것을 무시 하고 책상 밑 에 감추라. 일 단 TTL 이 끝나면 우편배 달은 정 
상으로 돌아 올것 이 다. 

2. 우편을 교환하는 매 령역 에 대 한 DNS 관리 자와 접촉하여 그들의 DNS 캐 
쉬 를 재 설 정 하도록 요구하시 오. 이 렇 게 하면 원격 체 계 는 우편4 보내 려 
고 하는 다음번에 그 주소를 보게 될것이다. 이 선택은 좀 어니운것인 
데 AOL 이 나 CompuServe 와 같은 큰 령역 에서는 불가능하다. 

이러한 오유를 피하자면 기초적인 계획화가 필요하다. 변화가 있기 적어즈 30 일전 
에 TTL 값을 매우 적은 시간(한시간정도)으로 낮추시오. 이렇게 하면 원격체겨는 간단 
한 시간크기에 대한 정보만을 캐쉬에 보관하게 된다. 변화가 끝나면 TTL 은 : 0 일까지 
로 조정되 여 통신량을 감소시 킬 수 있 다. 자기 들의 호스트이 름이 나 주소를 변사시키 려 
하지 않는 체계들에 대 하여서는 30 일 이 좋은 TTL 값으로 핀다. 


DNS 는 통신할 때 TCP 와 UDP 를 리용한다. 둘 다 목적지포구로 53을 쓴다. 

方 FO I 퍼 본문전송규약 ( HTTP ) 

HTTP 는 Web 열람기와 Web 봉사기사이의 통신에서 리용된다. 그것은 사용자가 봉사 
기 로부터 정보를 꺼 내 가는 동안 하나만의 대 화를 만들고 유지 하지 않는다는데서 대부분 
의 봉사들과 다르다. 본문이나 도형 또는 음성과 갈은 매 정보요청은 개별적인 자기의 
대화를 만드는데 일단 그 요청이 끝나면 끝난다. 

많은 그림을 가지고 있는 Web 페지는 열람기에 싣기 위해서 여러개의 동시적인 련결 
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을 만들어 야 한다. 하나의 Web 열 람기 가 Web 봉사기 로부터 한 페 지 를 읽 기 위 하여 10, 
20 또는 지 어 50개의 대 화를 만드는것도 희귀한 일 이 아니 다. 

관본 1.0 에 서 HTTP 는 자료형 식 의 교환을 지 원 하기 위하여 다매 체인 터네 트우편확 
장 ( MIME ) 기능을 포함하였다. 이것은 HTTP 가 실제로 교차플래트홈봉사로 되게 하였 
는데 그것은 MIME 가 Web 열람기로 하여금 봉사기에게 자기가 어떤 형식의 파일을 지 
원 할수 있 는가를 알려 줄수 있 게 하기때 문이 다. MIME 는 또한 봉사기 가 Web 열 람기 에 
게 어떤 형식의 자료가 수신되게 되는가를 알려 줄수 있게 한다. 이렇게 하면 열람기 
는 수신될 자료에 대 하여 정 확하고 플래 트홈에 맞는 보기 또는 실 행용쏘프트웨어 를 선 
택 할수 있다. 


주 의 

HTTP 는 통신할 때 TCP 와 80의 목적 지 포구를 리용한다. 


〒-편가규약 ( POP ) 

우편국규약은 대표적으로 UNIX 쉴구좌로부터 우편을 꺼내갈 때 리용된다. 사용자는 
그 체계와 telnet 련결을 만들지 않고 자기의 우편을 읽을수 있 다. 우편을 받기 위 하여 
자기의 ISP 에 전화접속할 때 이것은 UNIX 체 계 로부터 우편을 받기 위하여 POP 규약을 리 
용하고 있는것이다. 

UNIX 사용자가 전자우편통보문을 받을 때 그것은 보통 / var / spool/mail 등록부에 보 
관된 다. 이 통보문은 보통 그 체계에 원격 접속 ( telnet ) 하고 mail 지령을 돌리면 꺼내 갈수 
있다. Mail 은 쓸모 있는 도구이지만 사용자대면부를 제대로 가지고 있지 못하다. 해보지 
못한 사용자에게는 그 명령이 애매한것 갈고 기억하기 어렵다. 

POP 는 사용자가 자기의 사용자이름과 통과암호를 리용하여 체계에 련결하고 자기의 
우편을 꺼 내갈수 있게 한다. POP 는 쉘 접 근은 허 용하지 않는다. 그것 은 간단히 사용자가 
체계에 남기고 있는 우편통보문을 꺼낼뿐이다. 

POP 를 지 원할수 있는 우편의뢰기는 여 러 가지 가 있으므로 사용자는 가장 좋아 하는 
전자우편의뢰기를 선택할수 있다. POP 의 최 신판은 POP 3 이 다. 

POP 3 을 리용할 때 사용자는 통보문을 POP 봉사기 에 남겨 두고 그것 들을 원격 으로 
보든지 (직 결우편)，또는 그 통보문을 국부체 계 에 내 리적재 하고 그것 들을 비직 결로 읽 든 
지 (비직 결 우편) 를 선택할수 있 다. 통보문들을 봉사기 에 남겨 두면 체 계관리 자는 그 체 계 
를 복제할 때 모든 사람의 통보문을 중심 적 으로 복제할수 있 다. 그러 나 사용자가 자기 의 
통보문을 지 우지 않는다면(12,000개 도 넘 는 통보문을 가지 고 있 는 우편함도 있 다. ) 의 뢰 
기를 위한 적재시간이 너무 길수 있다는것이 결함이다. 매 통보문의 복사가 봉사기에 남 
아 있으므로 의뢰기가 련결할 때마다 모든 통보문이 내리적재되여야 한다. 

비직결방식으로 POP 의뢰기를 리용하는것의 우점은 낡은 통보문들을 처리하기 위한 
국부폴더를 만들수 있는것 이 다. 통보문은 국부적으로 보관되므로 많은 통보문들에 대한 
적재시 간은 비교적 짧다. 이 렇게 하면 POP 봉사기 가 전화련결 ( dial - up ) 로 접근된다면 큰 
속도개 선을 이 룩함수 있 다. 국부적 폴더만이 리용될수 있 다는것 에 주목하라. POP 3 은 공 
유폴더의 리용을 지원하지 않는다. 


87 



비직결방식의 결함은 구동기고장으로부터의 회복을 담보하기 위해서 매 국부체계가 
복제 되 여 야 한다는것 이 다. 대 부분의 POP 의 뢰기 들은 비직 결 방식 으로 동작한다. 

POP3 의 가장 큰 결 함의 하나는 그것 이 전역주소책 의 자동생 성 을 지 원 하지 않는것 이 
다. 개 인주소책 만이 리 용된다. 실례 로 POP3 우편체 계를 리용하고 있다면 체 계의 다른 사 
용자들의 주소를 자동적으로 보는 방법 이 없다. 

여기서 두가지 선택을 할수 있다. 

• 어떤 다른 수단을 통하여 수동적으로 다른 주소들을 찾아서 개인주소책에 넣 
을수 있다. 

• 체 계관리 자에게 요구하여 체 계의 전자우편주소들의 목록을 만들고 이 목록을 
모든 사용자들에게 전자우편으로 보내게 한다. 

그러 면 매 사용자는 그 파일 을 리용하여 자기 의 개 인주소책 을 갱 신할수 있 다. 

특별히 유리한 선택 은 없으므로 POP 는 주소책 이 나 폴더 를 공유할 필요가 없는 가정 
인터네트사용자에게 가장적합하다. 기업상의 리용을 위해서는 IMAP4 규약(다음절에서 
고찰)이 가장 적 합하다. 

POP3 의뢰기에 의하여 하나의 통보문이 배달될 때 그 의뢰기는 통보문을 그 POP 봉 
사기 에 되 돌려 보내 거 나 중심 우편중계 기 에 로 보낸 다. 이 중에 어 느것 이 수행 되 는가 하는 
것은 POP 의뢰기가 어떻게 구성되는가 하는데 달려 있다. 새로운 통보문 또는 응답을 배 
달할 때 POP 의뢰기는 단순우편전송규약 SMTP 를 리용한다. POP 의뢰기가 아닌 넘겨주 
는 체계는 그 통보문의 전송에 결정적인 책임을 진다. 

우편발송중계를 리용하여 POP 의뢰기는 통보문이 최 종목적지 에 도달하기전에 망으로 
부터 떨 어 져 나올수 있 다. 대 부분의 SMTP 통보문들은 매 우 빨리 배 달되 지만 (Is 이 하로) 
통화중인 우편체 계 는 한 통보문을 받는데 lOmin 또는 그이 상 걸릴 수 있 다. 발송체 계 를 
리용하면 원격 POP 의뢰기가 전화접속을 유지하는데 필요한 시간을 줄일수 있다. 

만일 우편중계 기 가 문제를 만나서 (수신자의 전자우편주소를 잘못 입 력했다든가 등) 
통보문이 전송될수 없게 되였다면 그 POP 의뢰기는 다음번에 POP 봉사기에 련결할 때 배 
포오유통지를 받게 된다. 


주 의 

POP3 은 전송층에서 TCP 를 리용하고 목적지포구로 110 을 쓴다. 


인터네트통보문접근규약，판본 4( IMAP 4) 

IMAP 는 우편국규약의 다음 세대로 설계되였다. 그것은 POP 와 같은 특징들을 가지 
지 만 작업집 단환경 에 서 보다 쉽 게 확장할수 있는 많은 특징 들을 더 가지 고 있 다. 

POP3 에서는 사용자가 통보문을 봉사기에 남겨 두고 원격으로 볼것인가(직결우편), 
또는 통보문을 내리적재하고 그것을 비직결로 읽을것인가(비직결우편) 하는 선택권을 가 
지 고 있 다. 그러 나 IMAP 는 단절 이라고 하는 세번째 선택 을 지 원한다. 

직결방식 에서 모든 통보문은 IMAP 봉사기 에 보관된다. POP 우편의뢰기 를 직결방식으 
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로 시동하는것은 통보문이 많을 때에는 시간이 많이 걸리지만 IMAP 에서는 기발의 리용 
에 의하여 이 문제 를 극복하고 있 다. 

알고 있는바와 같이 POP 의뢰기가 POP 봉사기에 련결할 때 의뢰기는 간단히 인증하 
고 통보문을 적재하기 시 작한다. 봉사기의 모든 통보문들은 새것 이고 아직 읽지 않은것 
으로 간주된다. 이것은 사용자의 전체 내용이 통보문을 읽기전에 전송되여야 한다는것을 
의 미한다. 그러 나 IMAP 봉사기 에 련결 할 때 그것 은 현재 의 통보문을 인증하고 그것 의 기 
발상태들을 검사한다. 기발들은 통보문이 《보았다》, 《지웠다》，《대답하였다》등으 
로 표식되도록 한다. 이것은 IMAP 의뢰기가 전체 우편함을 전송하는것을 피하기 위하여 
이 미 본 통보문만을 모으도륵 구성 될 수 있 다는것 을 의 미한다. 

비 직 결 방식 에 서 련결 시 간은 미 리 보기 에 의 하여 감소될 수 있 다. 미 리 보기 는 사용자가 
국부체계에로 통보문을 전송하지 않고 모든 새 통보문의 머리부정보를 흙어 볼수 있게 
한다. 사용자가 원격으로 특정의 통보문을 가져 가려고 한다면 그는 어느 통보문은 수신 
하고 어느것은 그대로 남겨 둘것인지를 선택할수 있다. 또한 통보문들을 국부체계에로 
전송하지 않고 머 리부정보와 파일크기 에 따라 그것 들을 지 워 버 릴수도 있다. 이것 은 보 
통 자기우편을 원격으로 꺼내가고 있다면 실제적인 시간절약으로 된다. 

IMAP 는 POP 에 서 는 지 원 하지 않는 세번째 련결방식 으로 단절 이라고 하는 방식 을 
포함하고 있다. 

원격 IMAP 의뢰기 가 단절방식 으로 동작하고 있을 때 그는 모든 새 로운 통보문들의 하 
나의 복사만을 꺼 내간다. 원본들은 다 IMAP 봉사기 에 남겨 둔다. 의뢰기 가 다음번에 그 
체계에 련결할 때 그 봉사기는 캐쉬에 보관된 정보의 어떤 변화에 동기화된다. 이 방식 
은 몇가지 우점을 가진다. 

• 망통신량과 전화접 속가입시 간이 감소됨 으로써 련결시 간이 최 소화된다. 

• 통보문들이 중앙에 위치하고 있으므로 쉽게 여벌복사될수 있다. 

• 모든 통보문이 복사기 에 기초하고 있으므로 우편은 여 러 의뢰기 들에 의하여 
호출될수 있다. 

마지막 우점은 사람들이 항상 갈은 콤퓨터를 가지고 일하지 않는 환경에서 매우 쓸 
모 있다. 실례로 한주에 며칠동안 집에서 일하는 사람들은 자기의 집과 작업콤퓨터사이 
에서 자기우편의 동기 화를 쉽게 유지할수 있다. 대부분의 POP 의뢰기 와 같이 비직결방식 
에 서 일 할 때 에 는 그의 작업 체 계 가 받은 우편은 그의 가정 체 계 에 서 는 볼수 없을것 이 다. 
IMAP 의뢰기는 이러한 제한이 없다. 

POP 에 비 한 또 하나의 개선은 IMAP 가 봉사기 에 통보문을 쓰는것을 지원한다는것 이 
다. 이것은 사용자가 국부폴더대신에 봉사기에 기초한 폴더를 가질수 있게 한다. 이 폴 
더들은 단절방식에서도 동기화될수 있다. 

IMAP 는 또한 집단폴더들을 지원한다. 이것은 우편사용자가 통보문들을 많은 사람 
들에게 게 시할수 있는 게 시 판구역 을 가질수 있게 한다. 이 기 능은 NNTP 에서의 새 소식 
과 류사하다 ( NNTP 는 다음에 서술한다.). 집 단폴더들은 훌륭한 정보공유수단을 제공한 
다. 실례로 인사관리부서는 기업방책정보를 위하여 집단폴더를 설정할수 있다. 이렇게 
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하면 인쇄된 지도서들을 만들 필요가 없어 질것이다. 


일러두기 

만일 IMAP 를 리용하고 있거 나 또는 현재 의 전자우편체 계 가 집 단폴더 들을 지 원하고 
있다면 Computer support 라고 이름을 붙인것 또는 어떤 류사한것을 만드시오. 거 기 
에서 자기의 가장 일반적인 지원호출들에 대한 지원을 제공하는 통보문을 부칠수 
있다. 이것은 수신된 지 원호출들의 수를 감소시키 며 사용자에 게 문제 를 어 떻게 해 
결할것인가에 대한 서면상의 방향을 줄수 있다. 또한 화면보관도 할수 있는데 이것 
은 전화로 론의할 때보다 문제를 매우 쉽게 풀수 있게 한다. 


IMAP 는 응용프로그람구성접 근규약 ( ACAP ) 과 결 합할수 있도록 설계되 였 다. ACAP 
는 의뢰기에게 구성정보에로의 접근을 허용하고 중심위치로부터의 우선권을 허용하는 하 
나의 독립 적 인 봉사이다. ACAP 에 대 한 지 원은 miAP 의 이 식 성 을 크게 강화한다. 

실례 로 한주에 며 칠은 집 에서 일하는 사람들은 자기의 개 인주소책 과 구성정 보도 봉 
사기에 보관할수 있다. 만일 그가 직장에 있는데 새로운 이름과 전자우편주소를 그의 주 
소책에 첨부한다면 그 이름은 그가 자기 집의 체계를 리용할 때 준비되여 있을것이다. 
이 것은 매 개 의뢰기 가 자기의 개 별적 인 주소책 을 매 국부체 계 에 가지 고 있는 POP 에서는 
불가능한것이다. ACAP 은 또한 임의의 구성변화가 두 체계에 다 영향을 준다는것을 담 
보한다. 

ACAP 는 우편관리 자에 게 우편을 접 근할 때 사용자들을 위한 기 업표준을 설 정하는데 
서 어 떤 조종기능을 제 공한다. 실례 로 관리 자는 누구나 다 접 근할수 있는 전역주소책 을 
설 치할수 있 다. 


주 의 

IMAP 는 전송층에 서 TCP 목적 포구143을 리용한다. 


망파일체계 ( NFS ) 

NFS 는 원격 파일 체 계 에 로의 접 근을 제 공한다. 사용자는 파일 이 국부체 계 에 위 치 하고 
있을때 원격파일체계에 접근할수 있다. NFS 는 파일접근만을 제공한다. 이것은 처리기 
시 간 또는 인쇄 와 같은 다른 기 능들은 국부체 계 가 제 공하여 야 한다는것 을 의 미한다. 

NFS 은 봉사기와 의뢰기 둘 다에 대 하여 구성변화를 요구한다. 봉사기 에서 공유되 여 
야 할 파일체계는 먼저 수출되여야 한다. 이것은 어느 파일이 공유될것인가를 결정함으 
로써 수행된다. 이것은 하나의 등록부 또는 전체 디스크일수 있다. 또한 누가 이 파일 
체계 에 접근하였 는가 하는것 도 정 의 하여 야 한다. 

의뢰기쪽에서 체 계는 원격파일체 계 를 설 치하도록 구성되 여 야 한다. UNIX 체 계 에서 
이것은 체계의 etc / fstab 파일에서 하나의 항목을 만듦으로써 수행되는데 원격체계의 이름， 
설 치 하려 는 파일체 계 그리 고 국부체 계 의 어 디 에 그것 을 배 치 하겠는가를 지 적 하면 된다. 
UNIX 세계에서 이것은 한 등록부아래에 위치한 하나의 등록부구조이다. DOS 세계에서는 
원격파일 체 계 는 일의 적 인 구동기 문자에 배 당될수 있다. DOS 와 Windows 에 서 는 NFS 를 
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리 용하기 위하여 제 3자의 쏘프트웨어 가 필 요하다. 

그것 은 편리한 파일 공유방법 을 제 공하지 만 많은 기 능적결 함들을 가지 고 있 다. FTP 
와 NetWare 의 NCP 규약에 비 해 볼 때 파일 전송시 간이 느리 다. NFS 는 하나의 사용자만이 
파일 에 쓸수 있도록 담보하는 파일잠금기 능을 못 가지 고 있 다. 너 무 한심하지 는 않지 만 
NFS 는 정보가 손상없이 수신되 였다는 담보를 하지 못한다. 전체의 등록부가 NFS 를 리 
용하여 원격체계에로 복사되다가 수송중에 손상된 경우들도 있다. NFS 는 자료의 안전성 
을 검사하지 않기때문에 파일이 처리될 때까지는 오유를 발견하지 못한다. 


주 의 

NFS 는 UDP 를 리 용하여 포구 2049를 리 용하여 통신한다. 


망뉴스전송규약 ( NNTP ) 

NNTP 는 뉴스를 전송하는데 리 용된다. 뉴스는 통보문이 사용자에게 가 아니 라 뉴스 
그룹에 전송된다는것을 제외하고는 전자우편과 기능에서 매우 비슷하다. 매 뉴스그룹은 
공통적 인 특징 이 나 주제 에 따르는 통보문보관구역 이 다. 우편의뢰기대신에 뉴스의뢰기 가 
리용되 여 각이한 주제구역 으로 배 달된 통보문들을 읽는다. 

실례 로 자기 의 NetWare 봉사기 에 서 망을 구성 하여 야 할 문제 거 리 를 가지 고 있 다고 
하자. 이때 뉴스그를 comp . os . NetWare . connectivity 에 배 달된 통보문들을 검사하여 누군 
가가 같은 문제 에 대 한 풀이 를 찾았는가를 알아 볼수 있 다. 각이한 주제 에 따라 수백 수 
천개의 뉴스그롭이 있을수 있다. 실례로 다음과 갈은것들이 있다. 

com . protocols 

alt . clueless 

alt . barney , dinosaur , die . die . die 

뉴스우편물들을 읽 기 위 하여 서 는 뉴스봉사기 에 접 근하여 야 한다. 뉴스봉사기 들은 
자기 들이 받은 새 로운 뉴스들을 다른 봉사기 들에 중계함으로써 통보문들을 교환한다. 
이 과정은 좀 느린데 새로운 통보문이 매 뉴스봉사기들에 퍼지려면 3년일의 기간이 걸 
린다. 

뉴스는 매 우 자원집 약적 이다. 하나의 뉴스봉사기 는 한주일 에 여 러 기 가비 트정 도의 
정 보를 수신한다. 수신, 송신 그리 고 낡은 통보문을 제 거하는데 요구되 는 시 간은 많은 
CPU 시 간을 잡아 먹을수 있다. 

뉴스는 최근 몇년동안 스평이라고 부르는 활동에 의하여 그 매력이 감소되였다. 
스팽 이 란 불필요하고 주제 도 없는 통보문들을 마구 퍼뜨리 는 활동이 다. 실례 로 이 책 
을 쓰는 동안에 comp . os . NetWare , connectivity 에는 383개의 통보문이 포함되였다. 이 
중에 서 11%는 일 확천 금계 획 에 대 한 광고이고 8%는 콤퓨터관련 장치 또는 봉사에 대 한 
광고이고 6%는 어 떤 문제 에 대 한 전용자의 의 견을 서 술한 우편물들이 고 다른 23%는 
NetWare 관련이지만 아무런 련결성도 가지지 않는 광고들이였다. 이것은 우편물의 절 
반정 도가 실제 적 인 내 용을 가지 는것 이 라는것 을 의 미한다. 어 떤 그룹에 서 는 그 몫이 
더 한심하다. 
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주 의 


NNTP 는 전송에 서 TCP 를 리 용하며 모든 통신을 위하여 포구 119 를 쓴다. 


IP 우에 서 의 NetBIOS 

IP 에 서 의 NetBIOS 는 원 래 봉사는 아니 지 만 그것 은 대 화층지원을 첨 가하여 NetBIOS 
자료흐름을 IP 파케 트안에 포장할수 있게 한다. 이것은 Windows NT 나 Samba 를 리용할 
때 필 요한데 그것 은 파일 및 인쇄 기 공유를 위하여 NetBIOS 를 리용한다. 만일 IP 가 NT 봉 
사기 에 속한 유일 한 규약이라면 그것 은 포장을 통한 파일 공유를 위하여 NetBIOS 를 사용 
하고 있다. 

Samba 는 UNIX 파일 체 계 와 인쇄 기 들의 공유로써 접 근되 도록 하는 프로그람묶음이 다. 
결과적으로 그것은 UNIX 체계가 NT 봉사기인것으로 보이게 한다. 의뢰기는 다른 UNIX 체 
계 이 거 나 (Samba 의 퇴 기 를 돌리 는) Windows 95/98/NT /2000 일 수 있 다. Windows 의 퇴 기 는 
NT/2000 봉사기 와 통신할 때 와 같은 구성 을 리용하므로 어 떤 추가적 인 쏘프트웨어 를 요 
구하지 않는다. 

Samba 의 원천코드는 인 터 네 트에 무료쏘프트웨 어 (freeware) 로 준비 되 여 있 다. UNIX 
의 15 가지 특징보다 더 많은것 을 지 원하고 있 다. 


주 의 

NetBIOS 가 IP 안에서 포장될 때 전송층규약으로서 TCP 와 UDP 가 둘 다 리용된다. 
모든 통신은 포구 137-139 에서 진행된다. 


단순우편 a 송규약 ( SMTP ) 

SMTP 는 체계들사이의 우편통보문을 전송하는데 리용된다. SMTP 는 통보문교환형련 
결 을 리용한다. 매 우편통보문은 두 체 계사이 의 대 화가 끝날 때 까지 그대 로 전진한다. 
만일 하나이상의 통보문이 전송된다면 매 우편통보문에 대하여 따로따로 대화가 설정되 
여 야 한다. 

SMTP 는 ASCII 본문만을 전송할수 있다. 그것은 복잡한 (rich) 본문이나 2 진파일 및 
그 부속물전송은 지원하지 않는다. 이러한 형태의 전송이 필요할 때에는 그것을 ASCII 
형 식 으로 변환하는 외 부적프로그람이 필 요하다. 

이 기 능을 제 공하는 원래 의 프로그람은 uuencode 와 uudecode 였다. 2 진파일은 먼저 
uuencode 에 의 하여 처 리 되 여 ASCII 형 태 로 변환된 다. 이 파일 은 다음에 우편통보문에 붙 
어 전송되게 된다. 일단 수신되면 이 파일은 uudecode 에 의 하여 처리되여 원래의 2 진형 
식을 되찾게 된다. 

uuencode/uudecode 는 MIME 의 리용으로 교체 되 였 다. MIME 는 같은 변환과제 를 수행 
하지만 그것은 결과적 인 ASCII 정 보를 압축도 한다. 그 결과는 보다 작은 부속물로서 적 
은 비용으로 보다 빠른 전송을 할수 있게 한다. Apple 콤퓨터들은 Binhex 라고 부르는 응 
용프로그람을 리용하는데 이것은 MIME 와 같은 기능을 수행한다. MIME 는 지금 대부분 
의 UNIX 와 DC 우편체계들에서 지원되고 있다. 

Uuencode/uudecode , Binhex, MIME 는 서로 호환되지 않는다. 한 원격우편체계와 본 
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문통보문을 교환하고 있는데 결과가 쓸모없이 끝난다면 아마 서로 다른 변환형식을 리용 
하고 있을수 있다. 많은 현대적인 우편관문국들은 이러한 통신문제를 해결하기 위하여 
uuencode/uudecode 와 MIME 를 둘다 지원한다. 어떤것은 지어 Binhex 도 지원한다. 


주 의 

SMTP 는 통신에서 TCP 와 목적포구 25 를 리용한다. 


단순망관리규약 ( SNMP ) 

SNMP 는 망장치들을 감시 하고 조종하는데 리용된다. 감시 또는 조종국을 SNMP 관리 
국이라고 부론다. 망장치 를 조종하기 위 하여 서 는 SNMP 대 리 자를 돌려야 한다. 이 대 리 
자와 관리국이 함께 동작하여 망관리자에게 그 망의 조종의 중심점을 준다. 


주 의 

SNMP 대리자는 망장치에로의 련결을 제공한다. 그 장치는 관리가능한 집선기，경로 
기 또는 봉사기일수도 있다. 대리자는 관리국에 보고할 때 정적 및 동적정보를 다 
리 용한다._ 


정적정보는 장치를 유일하게 식 별하기 위하여 그안에 보관되 여 있는 자료이 다. 실례 
로 관리자는 SNMP 정적정보의 부분으로서 장치의 물리적위치와 계렬번호를 보관할수 있 
다. 이것은 SNMP 관리국으로부터 어느 장치와 작업하고 있는가를 쉽게 식별할수 있게 
한다. 

동적정 보는 그 장치 의 현재 의 상태 와 관련한 자료이 다. 실례 로 집선기 의 포구는 그 
것이 제대로 동작하는가에 따라 가능 또는 금지될수 있으므로 그것의 상태를 동적정보로 
볼수 있다. 

SNMP 관리 국은 SNMP 대 리 자를 돌리 는 모든 망장치 들을 조종하는데 리용되 는 중 
앙조종탁이 다. 관리 국은 우선 관리 정 보기 지 (MIB) 를 리 용하여 망장치 에 대 하여 배 운 
다. MIB 는 망장치제 작자에 의하여 제 공되 는 쏘프트웨 어 인데 보통 플로피 디 스크로 
제공된다. MIB 가 관리국에 첨가되면 그것은 망장치들에 대하여 관리국에 알려 준다. 
이것은 한 제작자가 만든 SNMP 관리국이 다른 제작자가 만든 망장치들에서 제대로 
돌아 가게 담보하는데서 도움이 된 다. 

정 보는 SNMP 관리 국에 의하여 보통 폴링 (polling) 을 통하여 수집된다. SNMP 관리 
국은 매 망장치 들의 상태 를 검 사하기 위하여 미 리 설정된 구간들에서 질 문들을 보낸 
다. SNMP 은 정 보를 수집 하기 위하여 두개 의 명 령 get 와 getnext 만을 지 원한다. get 명 
령 은 관리 국이 특정한 동작파라메터 에 대 한 정 보를 검 색할수 있게 한다. 실례 로 관리 
국은 한 경 로기 에 그것 의 포구들중 하나의 현재 상태 를 보고할것 을 요구할수 있다. 
getnext 명 령 은 장치 로부터 완전한 상태 를 수집 할 때 리 용된 다. get 명 령 들이 한렬 을 보 
낼 대 신에 getnext 는 한 장치 가 보고할수 있는 매 정 보토막들을 련속적 으로 검 색 하는 
데 리 용된다 . 

SNMP 은 또한 명 령 set 를 통하여 망장치의 조종을 한다. set 명 령은 망장치의 동작파 
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라메터 등을 변경하는데 리용된다. 실례로 get 명령이 경로기의 포구 2 가 금지되였다고 
보고한다면 그 경로기에 set 명령을 보내여 그 포구를 가능으로 바물수 있다. 

SNMP 는 보통 망장치의 관리도구와 같은 대역의 조종을 제공하지 않는다. 실례로 
경로기의 포구들을 열거나 막거나는 할수 있어도 IP 망구조를 초기화하거나 포구에 IP 주 
소를 할당하는것 은 할수 없 다. SNMP 에 준비되 여 있는 조종의 크기 는 제 작자의 MIB 에 
어 떤 명 령 들이 포함되 여 있는가 하는것 과 SNMP 그자체 의 명 령 구조에 의하여 제 한된다. 
SNMP 의 중요한 의미단어 는《 간단하다》는것 이 다. SNMP 는 망장치 들에 대 하여 최 소량 
의 조종만을 제공한다. 

대부분의 보고는 SNMP 관리 국이 망장치 들을 폴링하는것 으로써 수행되지 만 SNMP 
는 망장치가 중요한 사건들에 대해서는 즉시 관리국에 보고하도록 한다. 이 통보문들 
을 트랩 (trap) 이 라고 부론다. 트랩 들은 그 장치 가 다시 폴링 될 때 까지 기 다릴수 없는 
중요한 사건이 발생하였을 때 전송된다. 실례로 전원이 방금 차단되였다면 경로기는 
SNMP 관리조종탁에 하나의 트랩 을 보낼수 있다. 이 사건은 망련결성 에 중대한 충격 
을 줄것이므로 그 장치가 다시 폴링될 때까지 기다리지 않고 즉시 SNMP 관리국에 보 
고한다. 


주 의 

SNMP 는 통신할 때 UDP 와 목적지 포구 161，162 를 리용한다. 


Telnet 

Telnet 는 망의 어 떤 다른 체 계 와의 원격 통신대 화가 요구될 때 리 용된 다. 그것 의 기 
능은 대 형콤퓨터말단기 또는 원격 조종대 화와 류사하다. 국부체 계 는 화면갱 신만을 제 공하 
는 피동말단기처럼 된다. 원격체계는 파일체계와 프로그람들을 돌릴 때 필요한 모든 처 
리시 간을 제 공한다. 


주 의 

Telnet 는 TCP 를 리용하며 목적지포구 23 을 쓴다. 


WHOIS 

WHOIS 는 특정의 령역에 대한 정보를 모으는데 리용되는 하나의 도구프로그람이다. 
이 도구프로그람은 보통 체계 rs.intemic.net 에 련결하여 한 령역에 대한 관리적접촉정보 
와 뿌리봉사기 들을 보여 준다. 

이것은 특정의 령역이름을 어느 기관이 사용하고 있는가를 알려고 할 때 쓸모 있다. 
실례로 명령 


94 


whois. sun. com 




이라고 입력하면 그 령역과 관련되는 다음의 정보를 엄는다. 


Sun Microsystems Inc . ( Sun ) Sun . com , 192.9.9.1 
Sun Microsystems Inc . ( Sun - DOM ) Sun . com 

다음의 명령 
whois sun-dom 

을 또 입력하여 더 람색하면 추가적인 정보가 더얻어 전다. 

Sun Microsystems , Inc . ( SUN - DOM ) 

2550 Garcia Avenue 
Mountain View , CA 94043 
Domain Name : SUN . COM 

Administrative Contact , Technical Contact , Zone Contact : 

Lowe , Fredrick (0 FL 59) Fred . Lowe @ SUN . COM 
408-276-4199 

Record last updated on 21- Nov -96 
Record created on 19~0 Mar -86 

Database last updated on 16 一 Jun —97 05 : 26 : 09 EDT 
Domain servers in listed order ； 

NS . SUN.COM 192, 9. 3 

VGR ARL.MIL 128.63.2.6, 128.63, 16.6, 128, 4.4 

The InterNIC Registration Services Host contains ONLY Internet 

Information 

( Networks , ASN ’ s , Domains , and POC ’ s ) 

Please use the whois server at nic . ddn mil for MILNET Information 

WHOIS 는 매우 강력한 고장수리도구로 쓸수 있다. 지금 누가 그 령역을 관리하는데 
책임이 있으며 어떻게 그들과 접촉하며 어느 체계가 기본이름봉사기로 간주되는가 하는 
것 들을 알고 있 다. 그러 면 nslookup 과 같은 DNS 도구들을 리용하여 Sun 의 우편체 계 지 어 
그들의 Web 봉사기의 IP 주소도 알아 낼수 있다. 


WHOIS 는 통신대화를 만들 때 TCP 와 목적지포구 43을 리용한다. 
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IRC 

IRC 규약 (Internet Relay Chat ) 는 의 뢰기들이 실시 간으로 통신할수 있게 한다. 그것은 
me 봉사기들로 된 여러가지 개별적인 망들로 이루어 져 있다. 사용자는 하나의 망에 있 
는 봉사기에 그들을 련결하는 하나의 의뢰기프로그람을 돌린다. 봉사기는 정보를 같은 
망에 있는 봉사기들사이에서 중계한다. 일단 me 봉사기에 련결되면 사용자에게 하나 또 
는 몇개의 화제통로가 주어 진다. 통로이 름들은 보통 祖 rchelp 와 같이 하나의 #를 가지는 
데 주어 진 망의 모든 봉사기 가 같은 통로표를 공유하므로 그 망우의 어떤 봉사기 에 련 
결한 사용자는 다른 사용자와 통신할수 있게 된다. 


주 의 

기호 #대신에 &으로 시작하는 통로들은 주어 진 봉사기만에 해당되는것이며 그 망 
의 다른 봉사기들과 공유되지 않는다._ 


매개 RIC 의 퇴 기 는 유일 한 별명 ( nick ) 에 의하여 다른 의 뢰기 들과 구별된다. 봉사기들 
은 매 의뢰기들에 대하여 그 의뢰기가 돌아 가는 호스트의 실제이름，그 호스트의 의뢰 
기의 사용자이름 그리 고 그 의뢰기 가 련결된 봉사기 등을 포함하여 보충적 인 정보를 저 
장한다. 

조작자란 me 망의 관리를 수행할 능력을 부여 받은 의뢰기들을 말하는데 실례로 어 
떤 망 경 로조종문제 를 수정하는데 필요한 련결 차단 및 재 련결 등을 수행한다. 조작자는 
또한 련결을 차단함으로써 망으로부터 어떤 의뢰기 를 강제 적 으로 제거할수도 있다. 조작 
자는 봉사기에 지정되거나 또는 통로에 지정될수 있는데 그들은 별명이름뒤에 @기호를 
불여서 식별한다. 


주 의 

IRC 는 TCP 와 UDP 를 둘다 리용할수 있으며 가장 현대 적 인 IRC 봉사기 들은 포구 
6667-7000 에 서 대 기한다. _ 


웃층의 틍신 

대 화층의 우에 있는 층들을 고찰하면 우리 의 통신은 우리 가 리용하고 있는 프로그람 
에 아주 가까운것으로 된다는것을 알수 있다. 표현층과 응용층의 책임은 아래에서 리용 
되고 있는 규약보다는 보다 더 봉사의 형식을 가지는 기능들이다. 자료변환이나 암호화 
는 이식가능한 특징으로 간주된다. 
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주 의 


이식가능하다는것은 이 특징들을 아래의 규약을 고려함이 없이 쉽게 다른 봉사들에 
적 용할수 있 다는것 을 의 미한다. 자료를 전송하는데 IP 를 리용하는가 IPX 를 리용하 
는가 하는것은 문제가 되지 않으며 이 특징들을 실현하는 능력은 리용되고 있는 응 
용프로그람에 의존한다. 


실례로 Lotus 는 우편통보문들을 전송하기전에 암호화할 능력을 가지고 있다. 이 능 
력은 그 프로그람의 표현층에서 실현된다. 우편체계를 TCP, SPX 또는 모뎀을 통하여 
련결하는가 하는것 은 문제 로 되지 않는다. 암호화기 능은 세개의 규약모두에 의하여 준비 
되 여 있는것 이 나 같다. 왜 냐하면 그 기 능은 그 프로그람자체 에 의하여 준비되 여 있기때 
문에 Lotus 는 밑에 놓인 규약에 의존하지 않는다. 


O 야 

-U- 一 I 

이 장에서는 이써네트프레임을 해부하고 국부적이써네트토막에 있는 체계가 어떻게 
통신하는가를 고찰하는것으로 시작하였다. 또한 큰 망환경 에서 경로조종이 통신을 돕는 
데 리용되는가를 보았다. 여기서 우리는 여러가지 련결설정방법들을 보았으며 ip 봉사들 
을 고찰하는것으로 이 장을 끝내 였다. 이 기술들을 좀 더 깊이 고찰하려면 다음의 책을 
참고하길 바란다. 


Multiprotocol Network Design and Troubleshooting (Sybex, 1997) 


다음 장에서는 일상적인 통신에서 제기되는 몇가지 불안정점들을 살찌 보는것으로 
시 작한다. 핵 심 망설계 안에 보안을 설 치 하는것 이 어 떻 게 성 능을 개 선할뿐아니 라 망자료가 
공격의 영향을 적게 받게 할수 있는가를 고찰할것 이 다. 
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제 4 장. 위상구조적인 보안 


이 장에서는 망전송의 통신특성들을 보기로 한다. 또한 일상적인 망통신에서 어떤 
불안전성이 있는가 그리고 이러한 문제들을 완화시키는 망기반구조를 어떻게 개발할수 
있는가를 보기로 한다. 

망전송에 대한 리해 

암호화표준을 설정할 의무를 지니고 있는 국가기관이 국가와 관계되는 암호화된 
전송문들을 감시하고 암호를 푸는 책임도 지니고 있다는것은 우연한 일이 아니다. 어 
떻게 하면 보다 안전하겠는가를 알기 위하여서는 어떤 취약점들이 존재하며 이것들이 
어떻게 리용될수 있는가를 리해하여야 한다. 이와 갈은 생각을 망통신에 적용한다. 
망기반구조에 보안을 설계해 넣을수 있도록 하기 위하여서는 어떻게 망에 련결된 체 
계들이 서로 통신하는가를 알아야 한다. 많은 공격자들은 기초적인 통신특성들을 리 
용한다. 만일 이 통신특성들을 알고 있다면 그것들이 나쁘게 리용되지 않도록 담보하 
기 위한 조치를 취함수 있다. 

수자식통신 

수자식통신은 모르스부호 또는 이전의 전신체계와 류사하다. 전송과정에 일정한 임 
풀스패턴들이 리용되여 여 러가지 문자들을 표현한다. 



그림 4-1. 시간축에 따라 그린 수자식전송 


그림 4-1 을 보면 수자식전송의 한가지 실례를 알수 있을것이다. 전압이 전송매체에 
가해 질 때 이것은 2진수 1로 간주된다. 신호가 없으면 2진수 0으로 해석된다. 


98 





이 파형은 예측가능하고 허용가능한 값들사이의 변화가 크므로 전송의 상태를 결정하는 
것은 쉽다. 이것은 신호가 전기신호인 경우에 중요하다. 그것은 회로에 잡음이 가해 지면 
전압값을 약간 구부러 지게 할수 있기때문이다. 그림 4-2 에서 보는바와 같이 회로에 잡음이 
있을 때에도 신호의 어떤 부분은 아직 2진수 1이고 어떤 부분은 0이라는것을 알수 있다. 



수자통신이 잡음에 강하게 되도록 하는 이 간단한 형식은 또한 그것의 가장 큰 결함 
으로도 될수 있 다. ASCII 문자 A 에 대 한 정 보는 하나의 상사형파 또는 진동에 의하여 전 
송될수 있지 만 2진식 또는 수자식등가물을 전송하는것은 8개 의 개 별적 인 파형 들 또는 진 
동들을 요구한다 (010000()1 을 전송하기 위하여). 이러한 고유한 부족점에도 불구하고 수 
자식통신은 보통 상사식회 로보다 훨씬 더 효과적 이 다. 상사식 에서는 잡음 있는 전송을 
검 출하고 수정하는데 많은 부가처 리 가 소비 된 다. 


주 의 

부가처 리 ( overhead ) 는 수신하는 체계가 정확한 자료를 받는다는것 그리고 자료가 오 
유 없 다는것 을 담보하기 위하여 전송되 여 야 하는 추가적 인 정 보의 크기 이 다. 보통 
부차적정보가 많으면 실제 자료를 전송하는데는 보다 적은 대역너비가 차례진다. 
이것은 짐 을 나를 때 리용되는 포장과 비슷하다. 실례 로 수백개의 작은 발포수지알 
들을 요구하지 않았지만 그것 들은 물건 이 안전하게 운반되 는것 을 담보하기 위하여 
통안의 공간을 차지하고 있는것이다. 


하나의 전기회로(꼬임쌍선을 리용하는 이씨네트망과 같은)를 가지고 있을 때 정보를 
전송하기 위하여서는 전압을 진동시켜야 한다. 이것은 전압상태가 부단히 변하고 있다는 
것을 의 미하며 이 것은 바로 첫 불안전점 즉 전자기간섭 을 일으킨다. 

전자기간섭 ( EMI ) 

EMI 는 상사 또는 수자식통신과 같은 교류신호를 사용하는 회로들에서 생긴다. EMI 
는 일 정 한 전 압준위 를 유지 하는 회 로들에 서 는 생 기 지 않는다. 

실례로 만일 자동차축전지로부터 나오는 하나의 선을 갈라 내고 그 선으로 움직이는 
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전자들을 볼수 있다면 항상 움직 이고 균일하게 흐르는 안정한 흐름을 보게 될것 이 다. 

그 전압준위는 결코 변하지 않고 언제 나 12 V 이 다. 

차축전지는 전압준위 가 안정하므로 직류회 로의 한가지 실례 로 된다. 

이제 집안의 전등에로 가는 선을 갈라 내고 같은 실험을 한다고 하자. 선에서의 전 
압값은 측정하는 시 간에 따라 그 값은 -220 V 와 +220 V 사이 에 있 다는것 을 알것 이 다. 이 
회로의 전압준위는 부단히 변하고 있다. 시간에 따라 그리면 전압준위는 상사신호와 류 
사할것 이 다. 

교류도선에서 전자들의 흐름을 본다고 할 때 매우 흥미 있는 현상을 알게 될것이다. 
전압이 변하고 전류가 흐를 때 전자들은 주로 도선의 겉 면으로 흐르려고 한다. 도선의 
중심점은 전자운동이 거의 없다는것을 보여 줄것이다. 전원의 주파수를 증가시킨다면 더 
욱더 많은 전자들이 중심쪽에서가 아니라 도선의 겉면우에서 흐를것이다. 이 효과는 물 
스키에서 일어 나는 현상과 얼마간 류사하다. 배가 더 빨리 갈수록 물스키선수는 물면우 
로 더 높이 뜨게 된다. 



신호가 立 it 봉선 


그림 4-3. EMI 를 일으키는 교류전류를 나르는 도체 

전 력주파수가 증가하면 전류흐름에 90° 각을 지 어 에 네 르기 가 방출되 기 시 작한다. 
바위 가 물면에 부딪칠 때 물결이 이는것과 갈은 방식 으로 에네르기는 도선의 중심 으로부 
터 밖으로 움직 인다. 이 에 네르기방출은 도선우의 신호와 직접 적 인 관계를 가진다. 만일 
전압준위 또는 주파수가 증가한다면 방출된 에 네 르기 량도 증가한다(그림 4-3 을 보시 오) . 

이 에네르기는 자기적성질을 가지며 그것은 전자석과 변압기가 어떻게 동작하는가 
하는 기초로 된다. 도선으로 흐르는 신호를《냄새 맡기》위하여 전자기적복사를 측정 
할수 있다. 전기기술자들은 이러한 목적에 쓰는 도구를 오래전부터 가지고 있었다. 전기 
기술자들은 간단히 도선주위 로 련결할수 있는 장치를 가지고 가운데 있는 도체 에로 흐르 
는 신호를 측정하고 있다. 

전기 적망케 볼로부터 나오는 EMI 복사를 측정 할수 있는 보다 정 교한 장치 들이 많으며 실 
지로 그 도선을 흐르는 수자식임풀스들을 기록할수 있다. 이 임풀스들을 일단 기록하면 그 
것들을 2진형식으로부터 사람이 읽을수 있는 형식으로 변환하는것은 간단한 문제 이다. 
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죽 __ £l 

꼬임쌍선은 값이 눅은것으로 하여 널리 쓰이게 되였는데 그것도 매우 불안전하다. 
대부분의 현대망들은 비차페형꼬임쌍선을 리 용하여 배선핀다. 꼬임쌍선은 전기신호 
를 전송하는것 이 므로 EMI 가 발생 된 다. 케 블은 차폐 를 하지 않았기때 문에 매 도체 
로부터 복사되 는 EMI 를 매 우 쉽 게 검 출할수 있다. 꼬임 쌍선은 일 반적 인 망을 위하 
여서는 훌륭한 선택이지만 그 선으로 전송되는 정보가 100% 안전하여야 한다면 그 
것은 그리 좋은 선택이 못된다. 


그러 므로 첫번째 취 약점 은 실제 적 으로 쓰이 고 있는 망케 블이 다. 사람들이 망의 보안 
을 평 가할 때 이 것 들은 흔히 빼 놓는다. 흔히 콤퓨터실의 천정 으로는 거 미 줄갈은 케 블들 
이 지 나갈수 있다. 망이 같이 쓰는 사무실공간에 위 치 하고 있고 공동구역 을 통하여 지 나 
가는 케블들을 가지고 있다면 이것은 또 하나의 문제거리로 된다. 

이것은 공격자가 민감한 정보들을 수집하기 위하여 콤퓨터실이나 배선실가까이에 가 
지 말아야 한다는것 을 의미한다. 접 이식사다리 나 떨 어 진 천정타일 등은 다 망에 접근점 
을 만드는데 필요한것들이다. 령리한 공격자는 수집한 정보를 무선송신기를 리용하여 다 
른곳에 중계할수 있다. 이것은 공격 자가 다른 시 간에 안전하게 정 보수집 을 계 속할수 있 
다는것 을 의 미한다. 

빚섬유케블 

빛섬유케블은 직경이 62.5 mhi 인 원통형유리실속심을 겉씌우개로 감싼 형태로 되여 
있 다. 겉 씌 우개 는 속심 을 보호하며 빛 을 유리전도체 로 다시 반사하는 역 할을 한다. 이 것 
을 다시 질긴 케블과 섬유로 된 씌우개로 감싼것 이 다. 

그리고 이 전체를 다시 폴리염화비닐로 싸거나 또는 그대로 쓴다. 이 바깥씌우개의 
직경은 125 / xm 이다. 이러한 직경값으로 하여 이 케블을 때로 62.5/125 케블이라고 부른 
다. 유리 로 된 속심 은 깨질 수 있 으므로 케 블과 섬 유로 된 씌 우개 를 씌 움으로써 빛 섬 유케 
블을 원만히 다룰수 있게 하였다. 그림 4-4 는 빛섬유케블을 보여 준다. 



그림 4-4. 빛섬유케블을 벗겨 본것 

꼬임 쌍선과 달리 빛 섬 유케 블은 자료전송을 위하여 광원을 리용한다. 이 광원은 주로 
가시 적 외 선대 역 에 서 신호를 내 는 발광2극소자 ( LED ) 이 다. 케 블의 다른쪽 끝에 는 LED 신 
호를 수신하는 또 하나의 2극소자가 있다. 빛전송방식에는 두가지 형식 즉 한파모습과 
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다중방식이 있다. 


동작중의 빛섬유케블묶음을 절대 들여다 보지 마시오. 빛의 세기가 매우 놈으므로 
눈이 멀수 있다. 만일 케블을 눈으로 봐야 한다면 먼저 그것이 망에서 완전히 차단 
되였는가를 확인하여야 한다. 케블이 한 순간동안 어둡다고 하여 이것이 동작중이 
아니라는것을 의미하지는 않는다. 케블이 완전히 차단되였는가를 알지 못하면 한 
눈이 멀수 있는 위험名■ 매우 크다. 


빚분산 

가까운 벽에 대고 손전등을 비친다면 빛이 분산한다는것을 보게 된다. 즉 벽에 
비친 빛패린은 손전등의 렌즈보다 큰 직경을 가전다. 만일 두개의 손전등을 함께 그 
벽에 비친다면 어느 광원이 비치는것인지 결정하기 어려운 중간위치에 애매 한 구역 
이 있다는것을 알수 있을것이다. 벽으로부터 멀어 지는 방향으로 움직인다나 이 애 
매한 구역은 더 커진다. 이것은 사실상 다중방식에서 거리가 제한된다는것결 의미한 
다. 케블의 길이가 증가할수록 수신하는쪽의 2극소자가 서로 다른 빛주파수들을 구 
별하는것 은 더 어 려 워 진 다 . 


한파모습빛 섬 유는 하나의 빛주파수를 내 보내 는 하나의 LED 로 이 루어 져 있 다. 이 
단일주파수는 케 블의 한 끝으로부터 다른 끝으로 자료를 전송하기 위하여 수자식형 태의 
임풀스로 된다. 다중방식에 비한 한파모습빛섬유의 리점은 보다 빠르고 보다 긴 거리를 
갈수 있다는것이다(수십마일정도). 결함은 장치가 매우 비싸고 설치가 오랜것이다. 회사 
이름이 단어 《 Telephone 》 이나 《 Utility 》 로 끝나는것이 아니라면 한파모습빛섬유는 너무 
과분한것 이 라고 볼수 있다. 

다중방식전송은 여 러개의 빛주파수들로 구성되 여 있다. 빛대 역 이 한파모습처 럼 정 확 
할것을 요구하지 않으므로 다중방식의 장치가격은 한파모습보다 매우 눅다. 다중방식의 
결함은 빛분산 즉 빛이 전파될 때 빛선묶음들이 퍼져 나가는 경향이 있는것이다. 

다중방식전송은 전기적 인것 이 아니 라 빛에 기초한것 이므로 빛섬유는 EMI 의 모든 형 
태로부터 완전히 영향을 받지 않는다는 우점을 가진다. 여기서는 신호가 전도체를 통과 
할 때 복사가 없다. 유리전도체 를 다치 기 위하여 씌 우개부분을 자를수는 있으나 이것은 
체계를 고장내므로 공격자를 실망케 할것이다. 그러나 새로운 빛섬유체계들은 보다 탄력 
있고 이러한 종류의 공격에는 잘 견디여 내게 되여 있다. 

빛섬유케블은 또 한가지 우점을 가지고 있다. 그것은 큰 대역너비의 련결을 지원할수 
있 다. 10 MB , 100 MB 그리 고 기 가비 트이써네 트는 모두 빛섬 유케 블로 지 원할수 있 다. 보안 
문제와 관련하여서도 성능개선이 있다. 이것은 망에서 빛섬유케블을 리용하는 정당성을 쉽 
게 증명하게 될것이다. 그것은 대역너비와 보안문제에서 다 만족스러운 결과를 준다. 용감 
한 공격 자가 망에 접근하여 전송을 감시 하려 고 한다면 그는 많은 통신량을 가진 한 망토막 

102 




을 골라내여 큰 자료량을 수집하려고 할것이다. 그런데 마침 이것들은 망에서 이 점을 통 
하여 흐르는 큰 자료량을 지원하기 위하여 빛케블을 쓰러고 했던 그 토막들이다. 이 토막 
들에서 빛케블을 씀으로써 자기의 케블기반구조의 완전무결성을 보호할수 있게 된다. 

속박 및 비속박전송 

공간은 비속박매체라고도 부르는데 형태적인 경계를 가지지 않는 하나의 회로이 
다. 여기서는 신호가 어떤 경로를 따라 흘러야 한다는 제한이 없다. 꼬임쌍선이나 빛 
섬유케블은 속박매체의 실례들로서 이것들은 신호가 도선안으로 흐르도록 제한하고 
있다. 비속박전송에서는 어디로나 자료를 전송할수 있다. 

비속박전송에서는 많은 보안문제가 제기된다. 신호는 그것을 어떤 일정한 지역안에 
한정시킨다는 제한을 가지지 않으므로 감시나 도청을 당하기가 더 쉽다. 공간은 여러가 
지 신호형태들을 전송할수 있다. 가장 널리 리용되는것은 빛과 무선파이다. 

빛전송 

공간을 통한 빛전송은 망신호를 전송하고 수신하는데 레 이자를 리용한다. 이 장치 
들은 유리매체 가 없다는것을 내놓고는 빛케블회 로와 류사하게 동작한다. 

레 이 자전송은 집초된 빛묶음을 리용하므로 이것들은 깨끗한 시각선과 장치들사이의 
정확한 배당을 요구한다. 이것은 신호가 감시될수 있는 물리적구역을 엄격히 제한하므로 
체계의 보안을 강화하는데 도움이 된다. 그러나 공간은 빛전송의 유효거리를 제한하며 
결국 그것이 리용될수 있는 경우들의 수도 제한한다. 

비속박빛전송은 환경조건에 민감하다. 질은 안개나 눈이 내리는것은 전송특성에 
영향을 줄수 있다. 이것은 빛에 기초한 회로를 차단함으로써 사용자봉사를 거부하는것 
이 매우 쉽 다는것을 의미 한다. 그렇지만 공간을 통한 빛전송은 물리적케블을 리용할수 
없을 때 비교적 안전한 전송매체로 간주되고 있다. 

무선파 

망목적으로 리용된 무선파는 주로 1-20 GHZ 대역에서 전송되며 초고주파신호라고 부 
른다. 이 신호들은 특성 상 고정 된 주파수 또는 분산스펙트르일 수 있 다. 

고정된 주파수신호 고정 된 주파수신호는 전송하려 는 정 보를 위한 반송파로 리 용되 는 
하나의 주파수신호이 다. 라지오방송국은 단일주파수전송의 좋은 실례 이 다. 라지오방송국의 
반송파주파수에 FM 다이 알을 동조시키면 그우에 타고 있는 신호를 들을수 있다. 

반송파란 다른 정 보를 나르는데 리용되 는 신호이 다. 정 보는 그 신호우에 덧 놓이 게 
되며 (잡음도 갈은 방법으로 덧놓인다.) 결과적인 파가 공간으로 전송된다. 이 신호는 다 
음에 복조기 라고 부르는 장치 에서 수신되는데 (사실상 자동차용라지 오는 여 러 주파수들에 
설정될수 있는 복조기이다. ) 이것은 반송파신호를 제거하고 나머지정보만을 통과시킨다. 
반송파신호는 신호의 출력 을 증대시키며 그 신호의 수신대 역을 확장하기 위하여 리용된다. 

고정 된 주파수신호는 감시 하기 매 우 쉽다. 공격 자가 반송파주파수를 알고 있 다면 그 
는 전송한 신호를 수신하는데 필요한 모든 정보를 아는것으로 된다. 또한 신호를 방해함 
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으로써 모든 전송을 차단할수 있는 정보도 가지고 있는것으로 된다. 

분산스펙트르신호 분산스펙 트르신호는 여 러 개의 주파수들이 전송된 다는것 을 내놓고 
는 고정주파수신호와 같다. 여러 주파수들이 전송되는 리유는 잡음에 의한 간섭을 줄이 
기 위 한데 있다. 분산스펙트르기술은 전쟁기 간에 개 발되였는데 고정된 주파수로 전송되 
는 신호를 적들이 갈은 주파수를 가지는 신호로 전송하여 방해한것으로부터 생겨 났다. 
분산스펙트르는 여러 주파수들을 리용하므로 혼란시키기가 보다 어렵다. 

《보다 어 렵 다.》라는 말에 주의를 돌려 야 한다. 분산스펙 트르신호를 감시 하거 나 방 
해하는것은 아직 가능하다. 신호는 어떤 주파수대역에서 변화하는데 이 대역은 보통 반 
복되는 패턴을 가진다. 공격자가 주파수변화의 패턴과 시간관계를 알면 그는 전송을 감 
시 하거 나 방해 할수 있는 위 치에 있는것으로 된다. 


죽 __°1 

무선신호를 감시 또는 방해하는것이 쉽기때문에 대부분의 전송은 도청방지를 위한 
암호화에 의 거하여 바깥측에 의하여 감시 될 수 없 게 한다. 암호화는 제 9장에 서 취 급 
한다._ 


지상전송 대 공간전송 고정 주파수 및 분산스펙트르신호를 전송하는데 두가지 방법 
이 있 다. 이 것 들은 지 상전송과 공간전송이라고 부론다. 

지상전송: 지상전송은 완전히 륙지에 기초하여 무선신호를 취급한다. 송신국은 주로 
산꼭대기나 높은 건물에 위치한 전송탑이다. 이 체계의 대역은 보통 시야선범 
위이며 막히지 않은 공간을 필요로 하지 않는다. 신호세기에 따라 다르지만 
지상전송체 계 에서는 50 mile 이 보통 도달가능한 최 대범위 이 다. 지 역 텔레 비존 
및 라지오방송국이 지 상전송에 기 초한 방송의 좋은 실례 로 된다. 이 신호들은 
해 당 지 역들에서만 수신될수 있다. 

공간전송: 공간전송은 지상전송에 그 기초를 두고 있지만 그것은 웃공간에서 지구를 
돌고 있는 하나 또는 몇개의 위성을 리용하는것이다. 공간전송의 가장 큰 리 
점은 대역이다. 신호들은 세계의 거의 모든 구석들에서도 수신될수 있다. 공 
간전송위 성 들은 유효방송지역 을 크게 하거 나 작게 하도록 조절될수 있다. 

물론 신호의 방송지역 이 콜수록 더 잘 감시 당할수 있 다. 신호대 역 이 커질수록 신호를 
감시 하기 에 충분한 지식을 가진 사람이 그 방송구역안에 있을 가능성은 더 커질것 이다. 

전송매체선택 

망으로 자료를 전송하는 매체를 선택할 때 많은 보안관련문제들을 고려하여 야 한다. 

자료가 얼 마만 한 가치 가있 는가 

앞의 장들에서 본바와 같이 전형적인 공격자는 망을 공격함으로써 무엇인가를 얻으 
려 한다. 만일 금융정 보를 포함하는 자료기 지 를 가지 고 있 다면 그것 은 물리 적공격 을 기 
도할만큼 충분한 가치 가 있는것으로 된다. 
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어느 망토막이 민감한 자료를 나르는가 

망은 일상적으로 민감한 자료를 나르고 있다. 이 정보를 보호하기 위 하여서는 그것 
이 어떻게 리용되는가 하는 작업흐름을 알아야 한다. 실례로 만일 회사의 회계자료를 민 
감한것이라고 본다면 어떻게 그 정보가 보관되며 누가 그것에 접근하는가를 알아야 한다. 
자기의 국부적봉사기를 가지고 있는 작은 작업집단은 비속박매체를 리용하여 원격설비로 
부터 접근되는 구좌자료기지보다는 훨씬 안전할것 이 다. 


일러두기 

자기의 시설들사이로 지 나가는 봉사형 래들을 분석 하는데 주의를 돌려 야 한다. 실례 
로 전자우편은 보통 크게 주의를 돌리지 않는데 그것은 다른 사무봉사들보다 기업 
에 대한 더 많은 정보를 포함할수도 있다. 대부분의 전자우편체계는 통보문을 평문 
으로 전송하므로(만일 공격 자가 이 자료흐름을 포착한다면 그 내용을 인차 알수 있 
다.) 전자우편은 망봉사에서 가장 잘 지켜야 하는 대상의 하나로 되여야 한다. 


침입자가 발견될것인가 

집단이 3~4명으로 구성되여 있다면 침입자를 찾기 쉽다. 이것을 3천 또는 4천으로 
확대하면 문제 는 그것 에 비 례하여 어 려 워 진 다. 만일 망관리 자라면 자기 회 사의 물리 적 
보안실천에 대하여서는 발언권이 없을수 있다. 그러나 그는 자기 망을 엿듣는것이 조금 
이 라도 어 렵게 되도록 하기 위하여 노력하여 야 한다. 

물리 적매 체 를 선택할 때 다른 보안조치 들이 좀 약하다면 망이 공격 에 더 잘 견디 도 
륵 하여 야 한다는것 을 명 심하여 야 한다. 

중추망토막들이 접근가능한가 

공격 자가 망을 감시 하려 고 하고 있 다면 그는 대 부분의 정 보를 모을수 있는 중심마디 
를 찾으러고 할것이다. 배선실과 봉사기실은 많은 통신대화들을 접속시켜 주는 구역이므 
로 가장 좋은 목표로 된다. 망을 배선할 때 이 지역들에 특별한 주의를 돌리며 가능하면 
보다 안전한 매 체 (빛 섬 유와 갈은)의 사용을 고려하여 야 한다. 

자료전송방법 을 선택할 때 이 문제 들을 주의 깊게 고찰하여 야 한다. 제2장에 서 본 
위 험분석 정 보를 리용하여 자기 의 선택 을 증명하여 야 한다. 위 상구조적 인 보안의 수준을 
높이는것은 매우 비용이 드는것으로 보일수 있는데 그 비용은 침입으로부터의 회복비용 
과 비교할 때 증명된것보다 더 많을수도 있다. 

위상구조적인 보안 

자료를 나르는데 준비된 전송매체에 대한 리해에 기초하여 이 매체들이 하나의 망으 
토서 기능하기 위하여 어떻게 구성되는가를 고찰하기 로 한다. 위상구조는 주어 진 망 매 
체우에서 물리 적 으로 련결 하고 통신하기 위한 규칙 들로서 정의 된다. 매 개 위 상구조는 망 
체 계 들을 련결하기 위한 자기의 규칙모임을 가지며 어 떻게 이 체 계들이 배선우에서 서 로 
《말해야》하는가를 규정하고 있다. 지금까지 가장 널리 쓰이는 국부망위상구조는 이씨 
네 트이 다. 


105 



이써네트 


제3장에서 우리는 이써네트프레 임 에 어떤 형 식의 정 보가 포함되는가를 보았다. 이제 
는 이씨네트가 어떻게 이 정보를 망을 통하여 한 체계로부터 다른 체계에로 이동하는가 
를 시험해 보기로 한다. 망통신특성들을 더 잘 알고 있을수록 망을 안전하게 하기 가 더 
쉬 울것 이 다. 

추 __°1 

이씨 네 트는 1970년대 말에 Xerox 에 의 하여 개 발되 였다. 그것 은 후에 IEEE 802. 3으 

로 발전하였 다. 그것 의 유연성 , 높은 전송속도 그리 고 비 독점 적인 특성 으로 하여 

인 차 많은 망관리 자들이 선택하는 망위 상구조로 되 였 다. 

이써네 트는 지 금까지 가장 대 중적 인 망위상구조이 다. 여 러 가지 형 태의 케 블을 지 원 
하는 능력，낮은 가격의 장치구조 그리 고 PnP 련결성 등으로 하여 그것은 그 어 떤 다른 
위 상구조보다 좋은 기 업 망(또는 가정 망) 으로 인정되 게 되 였 다. 

이씨네 트의 통신규칙 은 충돌검 출을 가진 반송파수감다중접 근 ( CSMA / CD ) 이 라고 부 
른다. 이 것은 발음하기 어 려운 긴 말이 기 는 하지 만 그것을 분석하면 리해 하기 쉽다. 

• 반송파수감이 란 이씨네 트국들이 모든 시 간동안(지 어 전송하고 있을 때 에 도) 
모선상에 서 듣어 야 한다는것 을 의 미한다. 《 듣는다》는것 은 그 국이 망을 계 
속 감시하면서 어떤 다른 국이 현재 자료를 전송하는가 하는것을 알아 내는 
것 을 의 미한다. 다른 국의 전송을 감시 함으로써 국은 망이 열 려 있는가 리용 
중에 있는가를 알수 있다. 이 방법 에 서 국들은 맹 목적 으로 정 보를 전송하여 
다른 국들을 방해하지 않는다. 부단한 듣기방식 에 있 다는것 은 그 국이 다른 
국이 자료를 전송하려 고 할 때 준비 되 여 있 다는것 을 의 미한다. 

• 다중접근은 간단히 두개이상의 국이 같은 망에 련결될수 있다는것 그리고 망 
이 자유로와 질 때마다 모든 국이 전송할수 있다는것을 의미한다. 매 체계 가 
지정된 시간에 전송하는것보다 그들이 요구하는 때에 전송할수 있는것은 매 
우 효과적 이 다. 다중접근은 또한 망에 더 많은 국들을 추가할 때 그것을 쉽 
게 확장할수 있게 한다. 

• 충돌검출은 다음의 물음에 대답한다.《두 체계가 회선이 자유롭다고 생각하고 
동시에 자료를 전송하려고 한다면 무슨 일이 일어 나겠는가?》두개의 국이 
동시 에 전송하면 충돌이 발생한다. 충돌은 간섭 과 류사한데 결 과적 인 전송은 
실패하고 자료를 나를수 없게 된다. 한 국이 자료를 전송할 때 그것은 이 조 
건을 감시한다. 만일 이러한 조건을 검출한다면 그 워크스테이션은 충돌이 
일 어 났다고 가정한다. 그 국은 다시 들어 가서 우연시 간만큼 기 다렸 다가 다 
시 전송한다. 
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다. 한 체계가 수신하는 이 모든 정보를 읽을수 있도록 체계를 구성하는것이 가능하다. 
이것을 보통 무차별방식체계라고 부론다. 

무차별방식은 망관리자가 하나의 중심국으로부터 망을 감시하여 오유들과 망통계자 
료들을 모을수 있게 함으로써 개선될수 있다. 망분석기는 무차별방식에서 효과적으로 동 
작하는 하나의 콤퓨터이다. 하나의 국이 모든 망자료흐름들을 듣고 있으므로 간단한 쏘 
프트웨어의 변화로서 체계가 모든 정보들을 기록하게 할수 있다. 

그런데 무차별방식의 존재는 또한 그리 정직하지 못한 사람이 망통신을 엿듣거나 민 
감한 정보들을 훔칠 가능성이 있다는것도 말하고 있다. 이것은 콤퓨터망을 통과하는 대 
부분의 정 보가 평문형태 로 되 여 있는것 으로 하여 특별 히 문제 로 된 다. 그림 4-6 에 이 러 
한 하나의 실례를 보여 준다. 

망감시 자가 또는 망분석 기 가 수집할수 있는 정 보의 크기 를 최 소화하기 위 하여 서 는 
망자료흐름들을 고립된 망통신들로 토막내야 한다. 이것은 망다리，교환기 또는 경로기 
들을 리용하면 가장 잘 수행할수 있 다. 이 장치 들은 이 장의 《 기 초적 인 망련결 장치〉〉에 
서 고찰된다. 
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그림 4-6. 하나의 망파일의 파케트내용 


광지역망위상구조 

광지역망 ( WAN ) 위상구조는 넓은 지역을 통하여 자료를 전송하도록 설계된 망구조이 
다. 많은 체 계들사이 에서 자료를 배포하도록 설계된 LAN 과 달리 WAN 는 보통 점 대점으 
로 동작한다. 점 대점 (Point to Point ) 이란 위상구조가 자료를 보내고 받는 두 마디점만을 
지 원하도록 개 발된 기술을 의 미한다. 만일 여 러개의 마디점 이 그 WAN 에 접 근하려 고 한 
다면 LAN 은 그 뒤에 위치하여 이 기능을 수행하게 된다. 

전용회선 위상구조 

임 대선이 란 고정료금지 불에 기 초한 전용의 상사 또는 수자회선이다. 이것은 그 회 선 
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을 리용하든 안하든 관계 없이 달마다 고정된 료금을 물고 있다는것을 의미한다. 임대선 
은 점대점련결로서 한 지리적위치를 다른 지리적위치에 련결하는데 리용된다. 임대선의 
최대 처리 량은 56 Kbps 이다. 

자은 두쌍의 도선케 블에 의한 전2중련결회 선(련결의 매 끝은 동시 에 전송하고 수신 
할수 있다.)이다. T 1 들은 임대선과 같이 전용 점대점련결을 위하여 쓰인다. T 1 에서 대 
역너 비는 64 KB 로부터 1.544 MB 까지 준비되 여 있다. T 1 는 시분할방법으로 두 도선쌍을 
24개의 개별적인 통로들로 조겐다. 시간분할이란 준비되여 있는 대역너비를 시간증분에 
기초하여 할당하는것이다. 이것은 T 1 이 음성과 자료를 동시에 나를수 있게 하므로 매우 
유용하다. 

임 대선이 나 T 1 들을 배비 하는데 두가지 공통적 인 방법 이 있다. 

• 회선이 두 시설사이의 련결의 전체 길이를 구성한다(분사무소와 기본사무소와 
같은) . 

• 임 대 선은 매 위 치 로부터 그것 의 국부적교환설 비 까지 의 련결 을 위하여 리 용된 
다. 그리 고 두 교환설 비 들사이 의 련결 은 프레 임중계 와 같은 어 떤 다른 기 술 
에 의하여 제공된다(이것은 다음 절에서 취급한다) . 

이 두가지 선택중 첫째가 보다 안전한 련결을 만드는데 비용은 보다 비싸다. 두개의 
지리적으로 떨어 진 장소들사이에서 점대점련결을 위하여 전용회선을 리용하는것은 자료 
가 감시되지 않도록 담보하는 가장 좋은 방법이다. 이 회선들중 하나를《냄새 말는것》 
은 아직 가능하지만 공격자는 그것의 경로를 따라 어떤 점에 물리적으로 접근하여야 한 
다. 또한 공격 자는 감시 하려 는 특정 의 회 선을 식 별할수 있 어 야 한다. 전화반송기 나 씨 서 
는 공격 자가 좋아 하는 문장인 《은행 XYZ 의 금융자료，여 기서 감시할것》과 갈은것 을 
얻을수 없다. 

두번째 선택 은 보통 국부적교환설 비에 로의 신호를 엄 는데 리 용된다. 거 기 로부터 자 
료는 프레 임중계 나 X .25 와 같은 공공망으로 나가게 된 다. 

프레임중계와 X .25 

프레 임중계 와 X .25 는 파케 트교환기 술이 다. 파케 트교환망에 서 자료는 어 떤 준비 된 
회선경로를 따라 갈수 있으므로 이러한 망들은 그림 4-7 과 같은 그라프적표현에서 흐린 
색으로 표시된다. 

X .25 와 프레임중계는 둘 다 영구가상회선 ( PVC ) 으로 구성되여야 하는데 이것은 점 
A 에 서 흐림구역안으로 들어 가는 모든 자료는 자동적 으로 점 묘로 전송된 다는것 을 의 미 
한다. 이 끝점 들은 봉사가 시 작되 는 시 점 에서 정의 된다. 큰 WAN 환경 에서 프레 임중계 는 
전용회선보다 매우 비용이 클수 있다. 이것은 하나의 WAN 련결을 통하여 여러개의 
PVC 들을 돌릴수 있기때문이다. 

실례 로 어 떤 사람이 집사무실까지 56 KB 의 련결을 요구하는 4개 의 원격싸이트들을 
가지고 있다고 하자. 만일 그가 이 망을 전용회선없이 구축하였다면 매개의 원격싸이트 
에서 하나의 56 KB 임대선련결을 만들고 또한 기본사무소에로 가는 4개의 56 KB 임대선 
련결을 만들었을것이다. 
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원격 망 2 




봉사기 워크스테이션 



워크스테이션 워크스테이션 봉사기 봉사기 


그림 4-7. 3개 의 원격 망들을 하나의 기 업 사무소에 련결하는 
WAN 프레 임 중계 기 

그러 나 프레 임중계 를 리용하면 기 본사무소에 서 의 4개 의 전용련결을 하나의 기 능적 인 
T 1 련결 로 바꾸고 T 1 회 선의 4개 통로를 자료를 받아 들이 도록 동작시키 면 된 다. 기 본싸 
이 트에 서 하나의 회 선망을 리용함으로써 그것 은 WAN 비 용을 줄일 수 있 다. 

사실상 기본사무소에서의 대요가 그의 모든 원격싸이트들의 cm 값과 같아야 한다는 
것은 없다. 실례로 그의 원격싸이트에로의 련결이 엄격히 전자우편을 전송하기 위하여 
리용된다고 가정하자. 대역너비요구가 낮다면 기본사무소에서 OR 를 256 KB 로부터 
128 KB 로 낮출수 있 다. 그것 의 4개 의 원격 싸이트들에 로의 전체 통신 량이 128 KB 를 초과 
하지 않는 한 그것은 성능이 떨어 졌다는것을 알아 차리지 못할것이다. 이것은 WAN 비 
용을 크게 감소시 킬것 이 다. 

추 __°1 
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파케 트교환망은 공유매 체 이 다. 교환설 비 는 그것 이 임 대하는 모든 PVC 들을 위하여 
같은 망을 리용한다. 결과적으로 매 다른 의뢰기들과 준비되여 있는 대역너비를 공 
유하고 있다. 



흐림구역에로의 련결점은 자료련결층련결식별자 ( DLCI ) 를 리용하여 배당된다. DLCI 
는 국부적교환설비 로 하여금 그것 이 어느 PVC 를 련결에 넘 기기하여 야 하는가를 알도 
록 한다. 

매개가 자기의 지정된 DLCI 를 사용하는 한 문제가 생기지 않는다. 문제는 어떤 사 
탐이 부정 확하게 또는 나쁜 의 도에서 자기의 경 로기 를 남의 회선과 같은 DLCI 로 지정하 
였을 때 생긴다. 이것은 자료흐름이 그들의 망에로 들어 가게 할수 있다. 이렇게 되려면 
다음의 조건들이 성 립하여 야 한다. 

1. 공격 자가 같은 국부적교환설 비 에 련결되 여 야 한다. 

2. 공격 자가 같은 물리 적교환기 에 련결되 여 야 한다. 

3. 공격자가 남의 DLCI 를 알아야 한다. 

명백히 이것은 실현하기에 가장 어려운 공격은 아니다. 그것은 비용이 드는 일이지 
만(공격자가 다른 기관의 망에 접근할수 없고 그 런결을《빌릴수》없는 한) 공격자가 
그 런결 로 중요한 정 보가 통과하고 있 다는것 을 안다면 이 공격 은 노력해 볼만 한 가치 가 
있는것 이 다. 

또한 공격자는 또 다른 지리적위치에로 하나의 PVC 를 돌릴수 있다. 그렇게 하는것 
은 자료를 얻 기 위하여 갈은 국부설비 나 갈은 교환기 를 통하여 련결되 는 필요성 을 제거 
하는것 으로 되며 또한 공격 자가 교환설 비관리체 계 에 침투하여 야 한다는것을 의미한다. 
이것은 쉬운 문제가 아니지만 지난 시기에 실행되였었다. 

비동기전송방식 ( ATM ) 

비동기전송방식 ( ATM ) 은 25_622 Mbps 의 속도범위에서 가장 널리 실현된 점대점 WAN 
기술이다. ATM 은 전송의 임대선에 비하여 효과적인 비용，확대가능한것，믿음성이 높은 
것 등으로 하여 널리 퍼졌으나 역시 사용자인증，자료완전성，자료유효성，자료비밀성 등 
올 론의할 때는 중요한 취 약점들을 가지고 있다. ATM 은 프레 임중계 나 X .25 와 다르게 동 
작하는데 그것은 자료를 세포 ( cell ) 라고 부르는 고정크기의 파케트로 조갠다. 이 세포들은 
매 우 작은데 (53 byte ) 그것 으로 하여 같은 망을 통하여 영 상，음성 그리 고 를퓨터자료들을 
전송할수 있게 하며 하나의 자료형식이 대역너비를 폭점하지 못하도록 한다. 

ATM 의 세 포파케 트들은 파케 트려과방화벽 과 호환되 지 않는다. 왜 냐하면 이 방화벽 
들은 점대점 ATM 련결의 끝점으로 간주되여야 하기때문이다. ATM 파케트의 토막화 및 
재조립 ( SAR ) 의 부차적지출은 효과적 인것으로 되지 않는다. 또한 ATM 봉사들은 비 IP 자 
료흐름을 전송할수 있으므로 IP 자료흐름과 결합되지 않는 약점들이 있다(그리 고 그로 하 
여 전통적 인 IP 망보안구조를 적용할수 없다.). 

그러면 해커는 어떻게 ATM 자료에 접근할수 있겠는가? 첫번째 방법은 전송매체와 
관계된다. 이것은 반드시 해커를 제지하는것 으로는 되지 못한다. 해커는 빛섬 유의 절연 
을 떼고 그것을 구부려 전송통로의 빛을 밖으로 나오게 하여 엿듣는다(그러나 대화가 끊 
어 져서 경 보가 울리지는 않게끔 한다. ) . 

두번째 방법 은 망에 서 돌아 가는 가상회 선의 우점 을 리용한다. 즉 교환가상회선 
( SVC ) 또는 영구가상회선 ( PVC ) 을 리용한다. 대부분의 SVC 관리체계는《호출에 더하 
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기》라는 특성을 가지는데 이것은 임의의 체계가 현재 집행중의 대화에 참가할수 있게 
한다. 만일 SVC 관리 자가 하나의 대화를 미 리 정의하지 않고 닫지 않았다면 임의의 사람 
이 거기에 참가하고 엿들을수 있다. PVC 도 관리체계에서는 취 약한데 특히 그들의 대면 
부가 telnet 나 Web 에 기초하고 있다면 해커는 통과암호를《냄새》맡거나 ( telnet 의 경우 
에 ) 또는 실 현상의 약점 을 리용 ( Web 에 기 초한 도구) 할수 있 다. 

일 단 해커 가 망에 접근을 하였 다면(그리 고 자기 소유의 PVC 또는 SVC 를 만들수 있 
다면 ) 그들은 잠정국부관리대 면 부 ( ILMI ) 또는 전 용망대 망대 면 부 ( PNNI ) 를 리용하여 
ATM 망의 경 로정 보를 변화시키 며 자료를 정 확히 자기 들이 관리하는 인 터네 트상의 한 체 
계에로 보낼수 있다. 


기초적인 망련결하드웨어 

지금 자기의 망하부구조를 계획할 때 구할수 있는 망제품은 매우 많다. 콤퓨터체계 
를 망에 련결 하며 망자료흐름을 조종하기 위하여 위 상구조명 세 를 확장하기 위한 모든 장 
치들이 있다. 때로 그 선택은 제한된다. 실례로 하나의 사무실를퓨터를 망에 련결하기 
위하여서는 망기판이 있어 야 한다. 

이러한 많은 장치들은 정확히 리용된다면 망의 보안을 개선하는데도 도움이 될수 있 
다. 이 절에서 우리는 일부 공통적 인 망장치 들을 살펴 보고 보안자세를 강화하기 위하여 
어느것을 쓸수 있겠는가를 론의 할것 이 다. 

반복기 ( Repeater ) 

반복기는 간단한 두 포구신호증폭기이다. 이것들은 모선형위상구조에서 하나의 케블 
로 나갈수 있는 최대거리를 늘이기 위하여 리용된다. 신호의 세기는 그것이 도선을 따라 
전파되는데 따라 보강된다. 반복기는 한 포구로 수자식신호를 받아서 그것을 증폭하여 
다른쪽 포구로 전송한다. 

반복기 는 전형 적 인 가정 용립 체증폭기 와 류사하다. 증폭기 는 CD 나 테프로부터 받은 
신호를 증폭하고 그것을 고성기로 가는 길로 내보낸다. 

반복기 가 수신한 신호는 좋은 자료프레 임，나쁜 자료프레 임 또는 배 경잡음일수도 
있다. 반복기 는 자료의 질 을 식 별하지 않고 그것 들을 그대 로 증폭한다. 

반복기 는 자료토막화를 하지 않는다. 반복기 의 한쪽에 서 발생하는 모든 통신은 수신 
체계가 도선의 다른쪽에 있던 아니던 관계없이 반복기의 다른쪽으로 통과된다. 반복기를 
피동적 인 증폭기로 생각하면 된다. 

집선기 ( Hub ) 

집선기는 아마 망대면부기판에 다음 가는 가장 널리 쓰이는 망장치라고 볼수 있 
다. 물리적으로 집선기는 여러개의 RJ 45 암접속구를 가지는 변하는 크기의 통이다. 
매개 접속구는 RJ 45 수접속구를 붙인 하나의 꼬임쌍선케블을 꽃도록 설계되였다. 그 
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러면 이 꼬임쌍선케블은 하나의 봉사기 또는 워크스테이션을 집선기에 련결하는데 
리용된 다. 

집선기는 본질에 있어서 별형위 상구조에서 꼬임쌍선케 블을 지 원하는 여 러 포구반복 
기 이다. 매 마디점들은 집선기와 통신하며 집선기는 그 신호들을 증폭하고 그것들을 
매개 포구들에로(전송하는 체계도 포함하여) 전송한다. 반복기와 마찬가지로 집선기도 
전기 적 준위 에 서 동작한다. 집 선기 는 자료흐름조종을 제 공하지 않으며 기 능적 으로 반복 
기와 갈다. 

무선집선기 

전통적인 집선기의 한가지 변종은 무선집선기이다. 이 집선기들은 꼬임쌍선대신에 
무선전송을 리용하는데 무선 NIC 를 가진 콤퓨터 들이 이 집선기 를 통하여 서 로 통신하게 
된다. 보안문제 와 관련하여서 는 대부분의 무선집선기제 작자들은 무선체 계 에서 기 본적으 
로 암호화를 리용하고 있 다. 

망다리 ( Bridge ) 

망다리는 반복기와 비숫하게 생겼는데 망의 두개의 분리된 부분에 속하는 두개의 망 
접속구를 가지는 작은 통이다. 망다리는 반복기의 기능(신호증폭)을 포함하지만 사실상 
자료프레임을 취급하며 이것이 큰 우점이다. 그림 4-8 에 보여 준것처럼 일반적인 망다리 
는 지시 등을 제외하고는 반복기와 거의 비슷하게 생겼다. 《 Forward 》지시 등은 망다리가 
한 충돌령역 으로부터 다른 곳으로 자료흐름을 통과시켜 야 할 때 불이 켜 진다. 


1 


자료흐름 A 충돌 A 자로흐름 B 충돌 B 지시둥 

[]□[][]□， 


망다리 


그림 4-8. 일반적인 망다리 

제3장의 이씨네트에 대한 고찰에서는 자료프레임에 대한 개념을 소개하고 프레임머 
리부안에 포함된 정 보들을 서 술하였 다. 망다리 는 매 자료프레 임 에서 머 리 부정보를 리용 
하여 원천 및 목적 지 MAC 주소를 감시한다. 

원천주소로부터 망다리는 그 망체계가 어디에 위치하고 있는가를 알게 된다. 망다리 
는 하나의 표를 만드는데 자기 의 매 포구에 의하여 어 느 MAC 주소로 직 접 접 근가능한가 
를 목록으로 만든다. 그리 고 이 정 보를 리용하여 교통정 리원역 할을 하며 망에 서 자료와 
흐름을 조절한다. 하나의 실례를 보자. 
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망다 리 실례 

그림 4-9 의 망을 고찰하자. Betty 는 자료를 봉사기 Thoth 에게 보내 려고 한다. 망우 
의 매개가 다 망을 감시하여야 하므로 Betty 는 먼저 다른 국들이 전송을 하는가를 듣는 
다. 도선이 비 였다면 Betty 는 하나의 자료프레 임을 전송한다. 



망다리 도 또한 자료흐름을 감시 하고 있 다가 Betty 의 프레 임 의 머 리 부에 서 목적 지주 
소를 본다. 망다리는 MAC 주소 00 C 08 BE 0052( Thoth ) 를 가지는 체계가 어느 포구에 련결 
되여 있는지 모르므로 그 신호를 증폭하여 포구 B 로 재전송한다. 지금 망다리의 기능은 
반복기 와 류사하다. 그러 나 약간의 일 을 더하는데 그는 Betty 가 포구 A 에 붙어 있 다는것 
을 알고 그의 MAC 주소를 가지는 하나의 표항목을 만든다. 

그림 4-10 에서 보여 준것처 럼 Thoth 가 Betty 의 요청 에 응답할 때 망다리는 자료프레 
임에서 목적지주소를 또 보게 될것이다. 그러나 이때 그는 그것을 자기의 표와 맞추어 
보고 Betty 가 포구 A 에 붙어 있다는것을 알게 된다. 그는 Betty 가 이 정보를 직접 받을 
수 있다는것을 알고 있으므로 그 프레 임을 떨구고 포구 B 로부터 전송되지 않도록 막는 
다. 망다리는 또한 Thoth 에 대한 새로운 표항목을 만들어 그 MAC 주소가 포구 A 에 있는 
것으로 기록한다. 

망다리가 매 국의 MAC 주소를 기 억하고 있는 한 Betty 와 Thoth 사이의 모든 통신은 
Sue 와 Babylnor 와는 차단될것이다. 자료흐름의 격리는 망다리의 량쪽에 있는 체계들이 
준비되여 있는 대역너비를 2중으로 쓰면서 효과적으로 동시에 대화를 진행한다는것을 의 


114 






미하므로 매우 강력한 기능으로 된다. 망다리는 그 량쪽이 서로 련결되지 않은것처럼 통 
신이 격리되도록 담보한다. 국들은 망다러의 다른쪽에서의 전송을 볼수 없으므로 자기들 
의 망이 현재 비여 있다고 가정하고 자기들의 자료를 전송하게 된다. 



매개 체계는 자기와 같은 망토막에 있는 체계들과만 대역너비를 가지고 다투게 된다. 
이것은 그 토막밖에서는 충돌이 생길수 없다는것을 의미한다. 그러므로 이 토막들은 그 
림 4-11 에 보여 준것 처 럼 충돌령역 이 라고 부론다. 망다리 의 매 측에 서 의 하나의 포구는 
매 충돌령역의 부분으로 된다. 그것은 그의 매 포구들이 그것 에 직 접 접속된 체 계 들과 
대 역너 비를 가지고 다틀것 이기때문이 다. 망다리는 매 충돌령역안에서 통신량을 격러시키 
므로 분리된 체계들이 충돌할수는 없다. 그 효과는 잠재적인 대역너비를 2배로 하는것으 
로 나타난다. 

망을 두개의 충돌령역으로 분리하는것은 망보안을 강화하는것으로 된다. 실례로 
Babylnor 라는 체계가 손상되였다고 하자. 공격자는 이 체계에 높은 급의 접근을 얻고 중 
요한 정 보들을 구하기 위하여 망활동을 포착하기 시 작한다. 

우의 망설 계 가 주어 졌 다고 하면 Thoth 와 Betty 는 비 교적 안전 하게 대 화를 할수 있 
다. Babylour 의 충돌령역 으로 갈수 있는 유일한 자료흐름은 방송자료뿐이 다. 제3장에 서 
방송프레 임 은 모든 국부체 계 에 배 달된다는것 을 보았다. 그러 므로 망다리 는 방송자료흐름 
을 전송할것 이다. 

이러한 상태에서 망다리를 리용하면 2중으로 상금을 타는것과 같다. 성능이 높아 질 
뿐만아니 라 보안도 강화된다. 
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그러면 자료흐름이 망다리를 통과할 때 무슨일이 생기게 되는가? 언급된바와 같이 망 
다리는 체계의 위치를 모를 때 그 파케트를 그대로 통과시킨다. 일단 망다리는 그 체계가 
사실상 다른 포구에 위 치하고 있다는것을 알면 그 프레 임을 요구하는대로 통과시 킨다. 

실례로 만일 Betty 가 Sue 와 통신하기 시작한다면 이 자료는 망다리를 지나서 
Babylnor 와 같은 충돌구역으로 전송될것이다. 이것은 Babylnor 가 이 자료를 받을수 있다 
는것 을 의 미한다. 망다리 는 Betty 와 Thoth 의 통신을 안전하게 보장하였지 만 Betty 가 Sue 
와 통신하기 시작할 때에는 추가적인 보안을 제공하지 못한다. 

이 대화들을 둘다 안전하게 하기 위하여서는 망다리가 매개 체계에 하나의 포구를 
제공할수 있어야 한다. 이러한 형식의 기능은 교환기라고 부르는 장치에 의하여 제공 
된 다. 

교환기 

교환기는 집선기와 망다리기술의 결합이 라고 볼수 있다. 이것들은 겉으로 보기에는 
집선기 와 류사한데 망체 계 들을 접속하기 위한 여 러개의 RJ 45 접속구들을 가지 고 있다. 
그러나 집선기와 같은 피동적 인 증폭기가 아니 라 교환기는 매 포구에 작은 망다리를 가 
지고 있는것처럼 동작한다. 교환기는 매 포구에 붙은 MAC 주소들의 위치를 알고 있으며 
일정한 주소에 로 정 해 진 자료흐름을 그것 이 속한 포구에 로만 보낸다. 
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그림 4-12. 통신하려고 하는 3개의 국과 3개의 봉사기를 
보여 주는 교환기설 치환경 

그림 4-12 는 매개 장치가 자기의 전용포구에 접속된 교환기에 기초한 환경을 보여 
준다. 교환기 는 하나의 프레 임전송이 발생하면(망다리 와 같이 ) 그 국의 MAC 식 별 자를 
배 운다. 이것 이 이미 진행되 였 다고 가정 하면 정 확히 같은 순간에 국 1은 봉사기 1에 자 
료를 보내 려 하고 국 2는 봉사기 2에 자료를 보내 려 하며 국 3은 봉사기 3에 자료를 보 
내려 한다는것을 알게 될것이다. 

이 정황과 관련하여 몇가지 흥미 있는것들이 있다. 첫째로는 매 도선의 동작이 그 
교환기 와 그것 에 불은 그 국만을 포함한다는것 이 다. 이것은 매 개 충돌령역 이 이 두 장치 
만에 로 제 한되 였 다는것 을 의 미한다. 왜 냐하면 교환기 의 매 개 포구는 망다리 와 같이 동작 
하기 때 문이 다. 워 크스테 이 션과 봉사기 가 보는 유일한 자료흐름은 특별 히 그들에 게 로 보 
내진 프레임과 방송주소로 보낸것들뿐이다. 결과로 3개의 모든 국들은 매우 작은 망자료 
흐름을 보게 되며 즉시로 전송할수 있게 된다. 이것은 잠재적인 대역너비를 크게 증가시 
키는 좋은 특성으로 된다. 우의 실례에서 이것이 10 Mbps 위상구조라면 결과적인 처리량 
은 3배 로 증가할것 이 다. 이 것은 3개의 체계모임전체 가 교환기 에 의하여 격 리되 여 있으므 
로 동시 에 대 화를 할수 있기 때 문이 다. 기 술적 으로는 10 Mbps 이 써 네 트이 지 만 잠재 적 인 처 
리량은 30 Mbps 로 증가하였 다. 

성능을 크게 높이는 한편 보안도 강화되게 된다. 이 체계들중 어느 하나가 손상되면 
감시될수 있는 유일한 대화는 손상된 체계와의 대화뿐이다. 실례로 만일 공격자가 봉사 
기 2에 로의 접 근을 얻 었 다면 그는 봉사기 1 또는 3과의 통신대화는 감시할수 없을것 이 다. 

이것은 감시 하는 장치 가 자기의 충돌령 역안에서 전송하는 자료흐름만을 모을수 있기 
때 문이 다. 봉사기 2의 충돌령역 은 그 자체 와 그것 이 접 속된 교환기 포구로 구성 되 여 있 으 
므로 교환기 는 다른 봉사기 들과 진행 되 는 통신대화로부터 봉사기 2로 격 리하는 작업 을 
효과적 으로 수행한다. 

이것은 훌륭한 보안특성이지만 망에 대한 합법적인 감시는 좀 시끄러운 일로 된다. 
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이것으로 하여 많은 교환기들은 감시포구를 가지고 있다. 

감시포구는 그 교환기의 하나의 포구로서 하나 또는 몇개의 포구들에로 전송된 모든 
자료들의 복사들을 수신하도록 구성될수 있다. 실례로 자기의 분석기를 교환기의 포구 
10에 꽃고 그 장치 가 포구 3에 로의 모든 자료흐름을 듣게 끔 구성할수 있 다. 만일 포구 3 
이 자기의 봉사기들중 하나라면 지금 이 체계에로 들어 오고 나가는 모든 자료흐름을 분 
석할수 있 다. 

이것은 또한 잠재적 인 보안구멍일수도 있다. 만일 공격 자가 그 교환기에 로의 관리접 
근을 얻 을수 있 다면 ( telnet , HTTP , SNMP 또는 조종탁도구를 통하여 ) 그는 그 교환기 에 
접속된 임의의 체계 또는 그것을 통하여 통신하는 임의의 체계를 감시하는데서 자유로운 
통제권을 가지게 될것이다. 우의 실례에로 돌아가서 만일 공격자가 봉사기 2와 교환기자 
체 에 접 근할수 있 다면 그는 지 금 모든 망통신을 완전히 감시할수 있게 된 다. 


죽 __°1 

망다리, 교환기 그리고 류사한 다른 망장치들은 주로 보안을 개선하기 위해서가 아 
니 라 망성 능을 개 선하기 위하여 설계된것 들이 다. 보안이 강화되 는것 은 두번째 의 유 
익한 점 이 다. 이것은 그것들이 방화벽 이나 경로기와 같이 《마구다루기식》의 현실 
세계체험 을 겪 어 보지 못하였다는것 을 의 미한다. 교환기는 보안방책을 좋게 하여 
주지만 그것이 보안방책을 실현하는데서 핵심적인 장치로 되여서는 안된다._ 


VLAN 기술 

교환은 가상국부망 ( VLAN ) 이 라고 하는 새 로운 기 술을 도입한다. 교환기 에 서 돌아 
가는 쏘프트웨어는 지 리적위 치 에 의 해서 가 아니 라 작업집 단에 의하여 련결된 ( VLAN 집 단 
이 라고 부르는) 체 계 들의 련결성파라메터 들을 설정할수 있게 한다. 교환기 의 관리 자는 
포구전송을 론리적 으로 조직하여 련결성 이 매 사용자의 요구에 따라 집 단을 짓도록 할수 
있다. 《 가상적 인》부분은 이 VLAN 집 단들이 여 러개의 물리적망토막들과 여 러개의 교환 
기들을 포함할수 있다는것이다. 일정한 집단의 사람들이 PC 에 접속된 모든 교환기포구 
들을 같은 VLAN 집 단에 배 당함으로써 하나의 가상적 인 망을 만들수 있다. 

VLAN 을 여 러개의 교환기 를 만들기 위하여 많은 포구를 가지 고 있는 하나의 교환기 
를 조개여 쓰는것의 가상적 인 등가물로 생각하면 된다. 만일 하나의 24포구교환기를 가 
지고 있고 그 포구들을 나누어 3개의 꼭 같은 VLAN 을 만들려고 한다면 이것은 본질에 
있 어 서 3개 의 8포구교환기 를 가지 고 있는것 과 갈다. 여 기 서 《 본질 에 있 어 서》라는 말 
이 아주 중요한데 그것은 사실 하나의 물리적장치를 가지고 있기때문이다. 이것은 관 
리를 보다 간단하게 해주지만 보안의 견지에서 보면 3개의 물리적 인 교환기를 가지는 
것 만큼은 좋지 못하다. 만일 공격 자가 VLAN 을 리용하여 교환기 를 손상시 킬 수 있 다 
면 그는 그 장치우에 있 는 다른 VLAN 들을 감시할수 있 도록 자기 의 련결 을 구성할수 
있게 된다. 

이것은 방화벽과 같은 자료흐름조종장치의 량쪽에 련결을 제공하는 하나의 큰 교환 
기를 가지고 있는 경우에 매우 나쁜것으로 된다. 공격자는 방화벽에 침투할 필요가 없을 
수도 있다. 그는 교환기가 훨씬 더 쉬운 목표라는것을 알게 될것이다. 적어도 공격자는 
지금 망에 침투할 두가지의 잠재적인 길을 알고 있는것으로 된다. 
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경로기 


경 로기 는 통신규약과 망정 보에 기 초하여 프레 임의 내용을 어떻게 취 급할것 인가를 결 
정하는 여러 포구장치이다. 이것이 무엇을 의미하는가를 리해하기 위하여서는 먼저 통신 
규약이란 무엇이며 그것이 어떻게 동작하는가를 보아야 한다. 

지금까지는 망장치들에 배당된 MAC 주소를 리용하여 잘 통신하고 있었다. 체계는 
이 번호를 리용하여 다른 체 계 들과 접 촉하고 요구되 는대 로 정 보를 전송하였 다. 

이와 관련한 문제는 그것이 잘 확장되지 않는것이다. 실지로 만일 서로 통신하려는 
2000개의 체계를 가지고 있다면 어떻게 되겠는가? 이것은 하나의 이써네트망에서 대역너 
비를 가지고 서로 다투는 2000개의 체계를 가지고 있는것으로 된다. 교환기를 사용한다 
고 하여도 방송프레임들이 많아서 망성능은 크게 떨어 지게 되며 더 많은 체계들을 추가 
할수 없게 된다. 이런 문제로 하여 IP 와 IPX 와 같은 통신규약들이 나타나게 되였다. 

망통신 규약 

가장 낮은 수준에서 망통신규약은 망체 계 가 지 리적범위 와 공통적 인 배선에 의하여 
집 단 지 어 진다는 의미를 제공하는 통신규칙들의 모임 이 다. 그것 이 특정한 집 단의 부분 
이 라는것을 지적 하기 위하여 이 매 개 체계 에는 동일한 규약망주소가 배 당된다. 

망주소는 우편번호와 류사한 종류이다. 어떤 사람이 편지를 부치는데 겉봉투에 
« Fritz & Wren , 7 Spring Road ) 라고 썼다고 하자. 이것이 매우 작은 도시에서 있은 일 
이 라면 그 편지 는 아마 쉽 게 전달될것 이 다 ( LAN 에서 MAC 주소를 리용한것 처 럼) . 

그러나 만일 그 편지가 큰 도시에서 부친것이라면 우편국에서는 그것을 어디로 보낼 
것인지 모를것이다(우편국직원들은 아마 좋은 웃음거리를 얻었을것이다.). 

우편번호가 없으면 그들은 배달을 시도할수도 없다. 우편번호는 이 편지가 배달되여 
야 할 대체적 인 지 역을 지정하는 방법을 제공한다. 그 편지를 취급하는 우편국직원은 
Spring Road 가 어디에 위치하고 있는지를 알 필요가 없다. 그는 그저 우편번호를 보고 
그 번호에 책임 있는 우편국에로 그 편지를 전송한다. Spring Road 의 위치를 알고 이 지 
식 을 리용하여 그 편지 를 배 달하는것 은 말단우편국이 하는 일 이 다. 

통신규약망주소는 이 와 류사하게 동작한다. 규약을 리해하는 장치 는 목적 지장치 의 
망주소를 프레임의 자료마당에 첨가한다. 또한 원격체계가 응답을 보내야 하는 경우에 
자기의 망주소도 기록한다. 

이것 이 경 로기 가 나타나게 되 는 리유이다. 경 로기는 모든 알려 진 망들에 대 한 표를 
가지 고 있는 규약을 리해하는 장치 이 다. 그것 은 이 표를 리 용하여 정 보를 그것 의 최 종목 
적지까지 보내도록 한다. 경로조종되는 망이 어떻게 동작하는가를 알기 위하여 한가지 
실례를 보기로 하자. 

경로조종되는 망의 실례 

그림 4-13 에서 보여 준 망을 가지고 있는데 체계 B 가 체계 F 에 정보를 전송하려고 
한다고 가정하자. 
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그림 4-13. 경로조종망의 실례 


체 계 표는 자기 의 망주소를 체 계 F 의것 과 비 교하는것 부터 시 작할것 이 다. 망주소가 
갈으면 체계 표는 그 체계와 같은 국부망에 있다고 가정하고 정보를 직접 배달하려고 시 
도한다. 만일 망주소가 다르다면 체계 요는 자기의 경로조종표를 참고한다. 그것 이 망 3 
에 대 한 항목을 가지 고 있지 않다면 그것은 자기의 기정경 로기 에 로 돌아 가는데 그것은 
이 경 우에 Tardis 이 다. 정 보를 Tardis 에 게 전달하기 위 하여 체 계 표는 Tardis 의 MAC 주소를 
위하여 ARP 를 낸 다. 

다음에 체계 B 는 그 자료에 체계 표에 대한 망규약전달정보를 추가하여 Tardis 의 
MAC 주소를 목적 지 로 리용하는 하나의 프레 임 을 만든다. 이것 은 체 계 B 가 Tardis 가 목 
적지망에로의 정보전달을 책임지고 있다고 가정하기때문이다. 

Tardis 가 그 프레 임 을 받으면 그것 은 CRC 검 사를 진행 하여 자료의 무결성 을 확인한 
다. 프레 임 이 검 사되 면 Tardis 는 머 리 부와 꼬리 부를 완전히 떼 낸 다. 다음에 Tardis 는 그 
프레 임 에 들어 있는 목적 지 망주소(이 경 우에 망 3) 를 분석하여 그것 이 이 망에 국부적 으 
로 련결되였는가를 알아 낸다. Tardis 가 망 3에 직접 련결되지 않았으므로 그것은 자기 
의 경로조종표를 참고하여 거기로 가는 가장 좋은 경로를 찾아 낸다. 다음에 Tardis 는 
Galifrey 가 망 3에 도달할수 있다는것을 발견한다. 

Tardis 는 이 제 Galifrey 가 리 용하는 국부 MAC 주소를 알기 위 하여 ARP 를 보낸 다. 그 
리 고 원 천 마당에 자기 의 MAC 주소, 목적 지 마당에 Galifrey 의 MAC 주소를 가지 는 머 리 부 
를 만들어 그 자료파케트의 새 로운 프레 임을 만들어 낸다. 마지 막으로 새 로운 CRC 값을 
꼬리부에 덧붙인다. 

이러한 머리부를 뜯어 내고 프레임을 다시 만드는 작업은 매우 큰 작업량인것 같지만 
이러한 형식의 통신에서 꼭 펼요한 부분이다. 경로기들은 망토막의 경계에 배치된다는것을 
상기하라. CRC 검사는 나쁜 프레임 이 그 망을 통하여 전파되지 않는다는것을 담보하기 위 
하여 진행한다. 머 리 부정 보는 그것 이 망 1에 서 만 쓸수 있기 때 문에 떼 낸다. Tardis 가 그 프 
레 임을 망 2우로 전송하려고 할 때 원래의 원천 또는 목적지 MAC 주소들은 의미를 가지지 
않는다. 그러므로 Tardis 는 이 값들을 망 2에서 쓸수 있는것들로 바꾸어 야 한다. 

머리부의 대부분 (Mbyte 중 12 byte ) 이 교체 되여야 하므로 그 머리 부를 완전히 떼내고 
기 억 기 로부터 그것 을 다시 만드는것 이 더 쉽다. 꼬리부를 떼 는것 과 관련 하여 서 는 원천 
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및 목적지 MAC 주소가 일단 변화되였으므로 원래의 CRC 값은 더는 의미가 없게 된다. 그 
러므로 경로기는 그것을 떼내고 새것을 만들어야 한다. 


주 의 

규약정보를 포함하는 자료마당을 파케트라고 부론다. 이 용어는 때로 프레임과 같 
은 의미로 쓰이기도 하지만 파케트는 사실상 프레임의 한 부분만을 서술한다. 


Tardis 는 그 파케트를 둘러 싸고 하나의 새로운 프레 임을 만들었고 그것을 전송할 
준비가 되 였다. Tardis 는 이제 그 프레 임을 망 2로 전송하고 그것은 Galifrey 에게 수신될 
것 이 다. Galifrey 는 그 프레 임 을 받고 Tardis 와 류사한 방법 으로 그것 을 처 리한다. 그는 
CRC 를 검사하며 머 리부와 꼬리부를 떼 여 낸다. 

그러나 이 점에서 Galifrey 는 그것들이 둘다 망 3에 련결되여 있으므로 자기가 체계 
F 와 규약적 련결을 가지고 있다는것을 알게 된다. Galifrey 는 그 파케트둘레에서 하나의 
새 로운 프레 임을 만들고 표를 참고하지 않고 그 프레 임을 직접 배 달한다. 

통신규약의 전문성 

경로기가 이러한 형식의 기능을 제공하기 위하여서는 리용되고 있는 규약에 대한 규칙 
들을 알아야 한다. 이것은 경로기가 특정의 통신규약과 련관되여야 한다는것을 의미한다. 

어 떤 정 당한 위 상구조적자료흐름을 취 급하는 망다리 와는 달리 경 로기 는 위 상구조와 
리용되 는 통신규약을 둘 다 지 원할수 있도록 설계 되 여 야 한다. 실례 로 망이 Banyan 
Vines 체 계를 포함한다면 경 로기 가 Vines IP 를 지 원하도록 담보하여 야 한다. 

경 로기 는 망에 서 의 통신량의 흐름을 조종할수 있는 강력한 도구로 될수 있 다. 만일 
IPX 와 IP 를 쓰는 망토막을 가지 고 있는데 IP 만이 회 사의 중추망에 서 리용하도록 승인되 
여 있다면 경로기에 IP 만을 지원하게 해주면 된다. 그러면 그 경로기는 수신하는 모든 
IPX 자료흐름을 무시할것 이 다. 

경로기의 중요한 특징은 방송을 막는 능력 이다 (3 장에서 언급한바와 같이 방송은 목 
적 지 MAC 주소로서 모두 묘를 포함하는 프레 임 들이 다. ) . 경 로기 의 다른쪽의 임 의 의 점 은 
새로운 망이므로 이 프레 임들을 막을수 있다. 


주 의 

망주소와 MAC 주소마당에 다 F 들을 포함하는 이 른바 집 단내방송이 라고 하는 우의 
것과 대응되는것이 있다. 이 프레임들은 망주소가 알려 져있을 때 국부망에 방송 
하는데 리 용된다. 대부분의 경 로기들은 기정 에 의하여 이 집 단내 방송들도 차단한다. 


대부분의 경로기들은 또한 일정한 자료흐름을 려과하는 능력을 가진다. 실례로 한 
회사가 다른 한 회사와 협력한다고 하자. 이때 그 회사는 새로운 망에서의 봉사에 접근 
하여 야 하지만 동업 자들이 자기의 봉사기 에 접근하는것은 원하지 않는다. 이것 을 실행하 
기 위 하여 서 는 두 망사이에 경 로기 를 설 치 하고 다른 회 사의 망으로부터 오는 모든 통신 
대 화를 려 과하도록 구성한다. 

대 부분의 경 로기 들은 자료흐름을 조종하기 위하여 정 적파케 트려과를 리용한다. 이 것 
이 어떻게 움직이는가 하는것은 제6장에서 구체적으로 취급한다. 지금은 경로기가 보통 
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의 방화벽 에서와 같은 자료흐름조종수준은 제공하지 못한다는것을 알아야 한다. 만일 보 
안요구가 최소라면 파케트려과는 좋은 선택일수 있다. 어쨌든 자기의 망들을 련결하는데 
경로기를 리용하게 될것이다. 

망다리/교환기/경로기의 대비고찰 

표 4-1 은 앞의 절에서 고찰한 정보들을 개괄한것이다. 여기서는 자료련결층에서의 
통신량조종(망다리와 교환기)과 망층에서의 통신량조종(경로기)사이의 차이를 인차 알수 
있 다. 


표 4-1 망다리/교환기와 경로기의 비교 


망다리 (교환기) 

경로기 

모든 포구들이 같은 망주소리용 

모든 포구가 다른 망주소리용 

MAC 주소에 기초하여 표작성 

망주소에 기초한 표작성 

MAC 주소에 기초한 자료흐름려과 

망 또는 호스트정보에 기초한 

자료흐름려과 

방송프레 임을 통과 

방송프레임을 차단 

모로는 주소에로 전송 

모로는 주소에로의 차단 

프레임 변경 없음 

새로운 머 리부와 꼬리부만들기 

머리부에 기초하여 전송가능 

전송전에 항상 대기 


계층-3교환 

교환기와 경로기사이의 차이에 대한 명백한 리해를 가진데 기초하여 표면상으로 이 
두가지를 서로 맞물리게 하는것으로 보이는 한가지 기술을 고찰하자. 이러한 장치를 설 
명하는데 계 층-3교환，교환기경 로조종 그리 고 경 로기 교환 등 3가지 가 같은 내 용으로 쓰 
이고 있다. 

그러 면 정 확히 교환기경 로기 란 무엇 인 가? 이 장치 는 아주 갱 신된 장치 는 아니 다. 사 
실 상 이 장치 는 현재 의 경 로기 기술이 좀 더 진화한것 이 다. 단어 《 교환기》가 덧 붙음으 
로써 이 장치가 제공할수 있는 처 리능력의 증가를 강조하고 있다. 

이 장치 는 보통 표준경 로기 와 같은 기 능을 수행한다. 하나의 자료프레 임 이 수신되 
면 기 억 에 보관되 고 CRC 검 사가 진행 된 다. 다음에 위 상구조적 프레 임 을 자료파케 트에 서 
떼 낸 다. 보통의 경 로기 와 꼭같이 교환기경 로기 는 자기 의 경 로조종표를 참고하여 가장 
좋은 전달경로를 결정하고 자료파케트를 프레 임으로 재포장하며 그것을 자기의 길로 
전송한다. 

그러면 교환기경 로기는 표준의 경 로기와 어떻 게 다른가? 그 대답은 이 장치의 덮개 
에 있다. 그것의 처 리는 전용집적회 로 ( ASIC ) 장치 에 의하여 제공된다. 표준의 경 로기 에 
서 모든 처리는 하나의 RISC (축소명령를퓨터)처리기에 의하여 수행된다. 교환기경로기 
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에서 요소들은 그 경로조종과정에서의 특정의 과제를 수행하도록 전용화된다. 그 결과로 
처리량이 크게 증대된다. 

이 장치의 실제적인 목적은 표준경로기보다 더 빨리 정보를 통과시키는데 있다. 이 
것을 달성하기 위하여 제작자는 처 리 량을 증대시키는데서 보통의 경로기실현과는 좀 다 
르게 할것 을 선택할수 있다. 실례 로 어 떤 실현에서는 그 프레 임 에 대 한 CRC 검 사를 하기 
위하여 들어 오는 자료흐름을 완충기억 기 에 보관하지 않을수 있다. 일 단 경 로결정 을 위 
한 프레 임정보를 알았다면 장치는 즉시 정보를 다른쪽으로 전송하기 시 작한다. 

보안의 견지에서 보면 이것은 항상 좋은것은 아니다. 확실히 성능은 좋아지지만 차 
단되여야 할 자료흐름이 우연히 통과하는 일이 있을수 있다. 교환기경로기의 실제적인 
목적은 성능이므로 무엇을 통과시키는가에 대 하여서는 보통의 경로기처 럼 구체적 으로 따 
지지 않을수 있다. 

계층-3교환은 계속 발전하여 이제는 오래동안 잘 사용하여 온 경 로기 를 교체할수 있 
는것으로 간주되게 되였다. 대부분의 현대적 인 경로기들은 초당 100만파케트이상을 처 리 
할수 있도록 발전하였다. 보통 매우 높은 통신량은 주로 중추망에서만 요구된다. 현재까 
지 이 것 으로 하여 교환기 는 망의 이 분야에 서 우위 를 차지하였 었 다. 

그러 나 교환기경 로조종은 보통의 교환기 의 교체 물로서 보안의 견지 에 서 리 로울수 있 
다. 자료흐름을 충돌령역 이 아니 라 실제 적 인 부분망에 격 리하는 능력 으로 하여 망의 이 
분야에서 전체적 인 새로운 조종수준을 가능하게 하고있 다. 

경 로기 와 류사하게 어떤 교환기경 로기 들은 접근조종목록을 지 원하는데 이 것은 망관 
리자로 하여금 어느 체계가 매개 부분망들사이에서 통신할수 있으며 그것들이 어떤 봉사 
를 접근할수 있는가를 처 리할수 있게 한다. 이것은 이전의 교환기가 제공하는것보다 매 
우 높은 수준의 조종이 다. 교환기경 로조종은 성 능을 떨 금이 없 이 내 부망의 보안을 강화 
하는데 도움이 될수 있 다. 만일 보안요구가 그리 높지 않다면 교환기경 로기 는 바로 보안 
방책을 증강하는것으로 될수 있다. 


둑 __°1 — 

제6장의 Cisco 경로기에서 접근조종목록 (ACL) 을 실현하는 몇가지 실례를 보게 될것 
이 다. 


O 야 

-I-L 一 I 

이 장에서는 많은 기초적문제들을 취급하였다. 보안의 관점 에서 통신의 특성들을 고 
찰하였으며 전송매체와 장치들을 살펴 보았다. 또한 대표적 인 망장치들에 의하여 어떤 
자료흐름조종선택 들이 준비 되 여 있는가를 고찰하였 다. 

다음의 몇개 장들에서는 보안방책들을 실현하기 위하여 설계된 체계들을 고찰할것이 
다. 방화벽으로부터 시작하여 침입검출체계를 고찰하게 된다. 
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제 5 장. 방화벽 


이 장에서는 방화벽과 그 실현에 대하여 고찰한다. 모든 방화벽이 다 같은 방법으로 
동작하는것이 아니므로 그것이 제공하는 보안에 기초하여 방화벽을 선택하며 그것 이 기 
업의 요구에 잘 맞는가를 확인하도록 한다. 실례로 어떤 회사가 방화벽이 AOL 의 Instant 
Messenger 를 지원하지 않으며 많이 결정적 인 기 업기능이라면 그저 도선절 단기 나 하나 
사는것 이 더 좋을수도 있다. 방화벽 을 고찰하기전에 그것을 구입할것 인가를 결정 하기 위 
하여 어 떤 정 보를 수집하여 야 할것 인 가를 보기 로 한다. 

접근조종방책의 정의 


구입하려 는 방화벽 의 형 태 또는 상표를 선택 하기 에 앞서 당신은 매 우 간단한 한가지 
문제 를 알아야 한다(이 것 을 대 답하기 에 는 시 간이 많이 걸 릴수도 있 다. ). 

망으로 드나드는 자료통신 량흐름을 취 급하는 규칙 들이란 어 떤것 들인가? 이 문제 에 
대 한 대 답은 망의 접근조종방책을 형성할것 이 다. 접근조종방책 이 란 망에서 어떤 형식의 
접 근이 허 용되는가를 서술한 하나의 기 업방책 이 다. 실례 로 기 관은 다음과 갈은 방책을 
가지고 있을수 있다. 《우리의 내부사용자들은 인터네트 Web 싸이트와 FTP 싸이트에 접근 
할수 있으며 SMTP 우편을 보낼수 있다. 그러나 우리는 인터네트로부터 우리 내부망에로 
들어 오는 SMTP 우편만을 허용할것 이 다.》 

접근조종방책 은 내부망의 각이한 구역들에 적 용할수 있다. 실례 로 한 기 관은 자기의 
기 업 상대 를 지 원하기 위하여 WAN 련결을 가지 고 있을수 있다. 이 경 우에 이 련결 에 의 
한 접근범위를 제한하여 정의함으로써 그것이 원래의 목적만으로만 리용되도록 담보하려 
고 할것이다. 

접 근조종방책 은 망의 여 러 부분에 로 드나드는 자료흐름의 방향을 정 의한다. 또한 어 
떤 형식의 자료흐름이 접수가능하고 어떤것이 차단되는가 하는것도 규정한다. 접근조종 
방책 을 정의할 때 많은 각이한 파라메터들을 리용하여 자료흐름을 서 술할수 있다. 방화 
벽을 가지 고 실현할수 있는 몇 가지 공통적 인 서술자들을 표 5-1 에 주었다. 

일러두기 

만일 기관이 접근조종방책을 가지고 있지 않다면 그것을 만들어야 한다. 명백 
히 정의된 접근조종방책은 정확한 방화벽제품들을 선택하는것을 담보한다. 1만 
딸라나 들여 서 새 방화벽프로그람을 사는것 보다 나쁜 일 은 없지 만 게 다가 그 
프로그람이 기관이 원하던것들을 다 하지 못한다면 더욱더 유감스러운 일로 될 
것이다. _ 

앞으로 어떤 형식의 접근조종을 요구할것인가를 상상하고 창조하여야 한다. 이렇게 
하는것 은 자기 의 방화벽문제 를 인 차 해 결하지 않도록 담보한다. 어 떤 기 관들에 서 는 인 
터네 트로부터 의 자기 들의 국부망에 로의 접 근에 대 하여 관심 을 돌리 지 않고 있다. 그러 
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표 5-1 접근조종서술자들 


- 술 

정 의 

방향 

(Direction) 

방향에 따로는 허용가능한 자료흐름의 서술. 실례로 인터네트로부터 

내 부망에 로의 자료흐름 (내 부로) 또는 내 부망으로부터 인 터 네 트에 로 

의 자료흐름(밖으로) 

봉사 

접근되는 봉사기웅용프로그람의 형래. 실례로 Web 접근 (HTTP)， 파 

일전송규약 (FTP), 단순우편전송규약 (SMTP) 

특정 호스트 

때로 방향만을 규정하는것이 부족할 때가 있다. 실례로 들어 오는 

HTTP 접 근은 허 용하지 만 하나의 특정콤퓨터 에 게만은 허 용하지 않을 

수 있다. 반대 로 하나의 콤퓨터 에만 인 터네 트 Web 봉사기접 근을 허 용 

할수 있다. 

개별 사용자 

많은 기 관들은 일정한 개 인이 특정 의 활동을 하도록 하지 만 다른 사 

람에게는 이러한 형래의 접근을 원하지 않을수 있다. 실례로 회사 

CEO 는 인 터네 트로부터 내 부자원 에 접 근하는것 을 허 용되 고 있다. 이 

경 우에 그 접 근조종방책 을 집 행하는 장치 는 접 근을 얻 으러 하는 사 

람을 인증하여 CEO 만이 통과되도록 담보한다. 

시간 

때 로 일정한 시 간동안 접 근을 제 한하려 고 할수 있다. 실례 로 한가지 

접 근조종방책 에서는《 내 부사용자는 인 터네 트 Web 봉사기 를 5시 부터 

7시사이 에 만 접근할수 있다.》라고 규정 하고 있다. 

공개 또는 

비밀 

때 로 공공망을 리용하여 (프레 임중계 또는 인터네 트와 같은) 비밀자 

료를 전송하는것 이 유리할 때도 있다. 접근조종방책은 정보가 두 특 

정호스트 또는 전체 망토막을 통과할 때 암호화되 여 야 한다는것 을 

정의할수 있다. 

봉사의 질 

기관은 준비된 대역너비에 기초하여 접근을 제한하려고 할수 있다. 

실례 로 인터네 트로부터 접 근될수 있는 하나의 Web 봉사기 를 가지 고 

있으면서 이 체계에로의 접근은 항상 응답되여야 한다는것을 담보하 

려고 할수 있다. 잠재적인 의뢰기가 현재 Web 봉사기를 접근하고 있 

을 때 내부사용자는 제한된 대역너비준위에서 인터네트에 접근하여 

야 한다는 접근조종방책을 세울수 있다. 의뢰기가 그 봉사기에 접근 

하고 있을 때 내부사용자들은 인터네트자원을 접 근하기 위하여 준비 

되여 있는 대역너비를 100% 다 가질수 있다. 

역할 

개 별사용자에게 접근을 제 한하는것과 류사하게 관리 자는 류사한 접 

근요구를 가지 는 개 인들을 집 단으로 만들기 위한 역 할을 리용한다. 

이 집단화는 접근조종의 복잡성을 간단하게 하며 관리부담을 쉽게 

한다. 






나 앞으로는 외부의 의뢰자들이 인터네트에 기초한 원격접근을 요구하리 라는것을 타산 
하여 야 한다. 항상 현재의 요구만에 기초하여서 가 아니 라 균형 이 맞게 생각하는것 이 중 
요하다. 


방화벽의 정의 


방화벽 이 란 망자료흐름이 접근점들을 통과할 때 그것 에 대 하여 접근조종방책을 집 행 
하는 체계 또는 체계들의 집단이다. 일단 제공하려는 련결의 수준을 결정하였다면 이 범 
위를 초과하는 추가적 인 접근을 허용하지 않도록 담보하는것 이 방화벽의 과제 이다. 망의 
모든 사용자들이 접근조종방책을 지키도록 담보하는것은 방화벽에 달려 있다. 

방화벽은 그것의 목적이 자료흐름을 조종하는것이라는 점에서는 다른 망장치들과 류 
사하다. 그러나 다른 망장치들과 달리 방화벽은 그 자료파케트가 무엇인가를 고려하여 
자료흐름을 조종하여 야 한다. 

실례로 망다리는 자료흐름을 목적지 MAC 주소에 기초하여 려과한다. 만일 호스트가 
부정 확하게 목적지 MAC 주소를 붙이 고 또 망다리 가 주의를 돌리지 않고 그 파케트를 틀 
린 목적지 로 보낸다고 하여도 그 망다리는 고장났다거 나 부정 확하다고 보지 않는다. 호 
스트가 망규칙을 지켜야 하는것 이고 그것 이 이 규칙을 어겼다면 호스트가 잘못이지 망다 
리가 아닌것이다. 

그러 나 방화벽 은 호스트들이 그것 을 통과하는 정 보를 훔치 기 위하여 그를 속이 려 할 
수 있 다고 가정 하여 야 한다. 방화벽 은 통신규칙 들을 지팽 이 로 리용할수 없으며 오히 려 
그 통신규칙들이 지켜 지지 않고 있다고 가정하여야 한다. 이것은 방화벽설계에 큰 부하 
를 가하고 있 으며 매 개 우발적 요소들까지 도 다 계 획하도록 할것 을 요구하고 있 다. 

언제 방화벽이 요구되는가 

보통 내부망과 인터네 트사이 에서 접근조종은 진행되지만 방화벽 이 요구될수 있는 정 
황은 매우 많다. 

전히7 [•입 모뎀 풀 ( Dial-in Modem pool ) 

방화벽은 전화가입모뎀풀로부터의 접근을 조종하는데 리용될수 있다. 실례로 전화가 
입 사용자들이 하나의 우편체 계 만을 접 근할수 있도륵 규정하는 접 근조종방책 을 가지 고 있 
을수 있다. 회사나 기관들은 다른 내부봉사기 또는 인터네트에 접근하는것을 허용하려고 
하지 않는다. 방화벽은 이러한 방책을 실현하는데 리용될수 있다. 


기업상대와의 외부적련결 

많은 기관들은 기 업상대와 영 구적 인 원격련결을 가지 고 있다. 이것은 어 려 운 정황을 
만들수 있다. 련결은 기 업을 위하여 요구되는것 이 나 어떤 사람은 보안이 기관에 의하여 
관리되지 않는 구역으로부터 내부망에 접근할수 있다. 방화벽은 이 련결들로부터의 접근 
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을 조절하고 문서화하는데 리용될수 있다. 


부서들사이에서 

어떤 회사들(무역회사와 갈은)은 서로 다른 망지역사이에서 내부방화벽을 가지고 있 
어야 한다. 이것은 내부사용자만이 요구하는 정보에 접근하도록 담보하기 위한것이다. 
이 두 망들사이의 련결점에서 방화벽은 접근조종을 집행한다. 

방화벽의 류형 

모든 방화벽이 같이 만들어 진것은 아니다. 망주변에서의 접근을 조종하기 위하여 
여러가지 기술들이 리용되였다. 가장 널리 쓰이는것은 다음과 같은것들이다. 

• 정적파케트러과 

• 동적파케트러과 

• 상태 려 과 

• 대리자 


정적과케트려과 

정적파케트려과는 파케트머 리부에 보관된 정보를 리용하여 자료흐름을 조종한다. 파 
케트가 려과장치에서 수신될 때 파케트머리부안에 보관된 자료의 속성들이 접근조종방책 
과 비교된다(접근조종목록 또는 ACL 이라고 부론다.). 이 머리부정보가 ACL 과 어떻게 
비 교되는가에 따라 그 자료흐름은 허용되든가 차단된다. 

정 적파케 트려 과기 는 자료흐름을 조절 할 때 다음의 정 보를 리용한다. 

• 목적지 또주소 또는 부분망 

• 원천 IP 주소 또는 부분망 

• 목적지봉사포구 

• 기발 (TCP 에서만) 


TCP 기발마당 

전송층에 서 TCP 가 리 용될 때 정 적파케 트려과는 자료흐름조종결정 을 만들기 위하여 
TCP 머 리 부의 기 발마당을 리용할수 있다. 그림 5-1 은 TCP / IP 파케 트의 파케 트해 신을 보 
여 준다. 조종비트마당은 어느 기발이 설정되였는가를 보여 준다. 기발들은 설정되거나 
(2 진값 1) 또는 재설정 (2 진값 0) 된다. 

그러 면 기 발마당은 무엇 을 표시 하는가? 제 3장에 서 고찰한 TCP 3 -파케트련결 신호로부 
터 서 로 다른 기 발값들은 통신대 화의 여 러 가지 상태 를 식 별 하는데 리용된 다는것 을 알수 
있다. 이 기 발마당은 수신측 호스트에 게 그 파케 트가 나르고 있는 자료에 대 한 몇 가지 
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보충적인 정보를 준다. 



그림 5-1. TCP/IP 파케트해신 


표 5-2 는 기 발들과 그것 들의 리용을 목록으로 보여 준다. 

기 발마당은 정 적파케 트려 과에 서 중요한 역 할을 논다. 그것 은 방화벽 이 어 떤 특정 의 
포구에서 나오거 나 또는 특정의 호스트에로 가는 모든 자료흐름들을 막는것은 아니 기때 
문이다. 

실례로 다음과 갈은 접근조종방책을 가지고 있을수 있다. 《우리의 내부사용자들은 
인터네 트우의 임의의 봉사로 접근할수 있으나 내부망에 로 향하는 모든 인터네트자료흐름 
은 막아야 한다.》이것은 ACL 이 인터네트로부터 오는 모든 자료흐름들을 막아야 한다 
는것 처 럼 들리 지 만 사실상 그렇 지 않다. 

모든 통신은 두 단계 과정 을 표현한다. 어 떤 사람이 Web 싸이트를 접 근할 때 그는 
하나의 자료요청 을 만들며 (단계 1) Web 싸이트는 요청한 자료를 돌려 보냄 으로써 그에 
게 응답한다(단계 2). 이것은 단계 2동안에 인터네트호스트로부터 내부체계에로 자료 
가 오기 를 기 다리 고 있 다는것 을 의 미한다. 접 근조종방책 의 뒤 부분을 그대 로 받아 들인 
다면 (《…내부망으로 향하는 모든 인터네트자료흐름은 막아야 한다.》) 우리의 응답들 
은 결 코 요청한 호스트에 돌아 오지 못할것 이 다. 우리 는《 효과적 인 보안장치 로서 의 
도선절단기》에로 돌아 온것이나 갈다. 우리의 방화벽은 하나의 완전한 통신대화를 허 
용하지 않는다. 

이로부터 기발마당이 리용된다. TCP 3 -파케트련결신호동안에 시작하는 체계는 
SYN =1 이 고 다른 모든 기 발들은 0인 파케트를 전송한다는것을 상기하시오. 이것은 한 체 
계가 다른 체계에 련결을 설정할 때 하는것이다. 파케트려과기는 TCP 대화들을 조종하기 
위하여 이 일의적인 기발설정을 리용한다. 초기련결요청을 막으면 두 체계사이의 자료대 
화는 설정될수 없다. 

그러 므로 접 근조종방책 이 기 술적 으로 보다 정 확한것 으로 되 도록 하기 위해서 다음과 
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FIN 스캐너 

간단한 파케트려과기는 포구주사를 막을수 있으므로 어떤 사람들은 원가 보기로 
결 심하였 다. 간단한 포구스캐 너 는 결국 FIN 스캐 너 로 진화되 였 다. FIN 스캐 너 는 포구스 
캐너와 류사한 원리로 동작하는데 전송되는 파케트는 FIN=1, ACK=1 이고':讀•른 모_ 
기 발들은 0이 다. 

우리 의 파케 트려과기 는 SYN=1 이 고 다른 모든 기 발들은 0 인 파케 트들만 ^ 으려 하 
므로 이 파케트들은 쉽게 통과된다. 그 결과는 공격자가 돌아 오는 자료흐름될 분석하 
여 어느 호스트가 어떤 봉사를 제공하고 있는가를 결정할수 있게 한다는것 이 f . 만일 
목적지호스트가 ACK=1, RST=1( 존재하지 않는 봉사에 대한 일반적인 체계응}0로 되 
돌려 보낸다면 그 쏘프트웨어는 이것이 리용되지 않는 포구라는것을 알게 된 K 그러 
나 만일 목적지호스트가 ACK=1, FIN=1( 련결을 닫는데 동의)을 돌려 보낸다나 FIN 스 
캐너는 그 포구를 감시하는 봉사가 있다는것을 안다. 이것은 우리의 파케트 e 과가 이 
러 한 주사식 검 사를 막는데 쓸수 없 다는것 을 의 미한다. 


실례 로 포구스캐 너 라고 하는 쏘프트웨 어프로그람이 있는데 그것은 목적지호스트를 
검사하여 어떤 봉사포구들이 열려 있는가를 알아 볼수 있다. 포구스캐너는 지정된 구역 
안의 모든 봉사포구들에 련결요청 ( SYN =1) 을 보낸다. 이 련결요청들중 일부가 목적지호 
스트가 련결요청 답례 ( SYN =1, ACK =1) 를 보내게 할수 있으면 이 쏘프트웨 어는 그 포구 
를 감시하는 봉사가 있다는것을 알게 된다. 

UDP 자료흐름의 파케트려과 

TCP 자료흐름은 조종하기가 그리 어렵지 않으나 UDP 자료흐름은 좀 어렵다. 이것은 
UDP 가 련결의 상태에 대하여 TCP 보다 적은 정보를 제공하기때문이다. 그림 5-2 는 UDP 
머 리부의 파케트해신을 보여 준다. 

우리 의 UDP 머 리 부는 대 화의 상태 를 지 적 하기 위한 기 발들을 리용하지 않는다는것 에 
주목하여야 한다. 이것은 파케트가 자료요청인지 또는 이전의 요청에 대한 응답인지 결 
정 하는 방법 이 없다는것을 의미한다. 즉 자료흐름을 결정하는 방법 이 없다는것을 의미한 
다. 자료흐름을 조절하는데 리용될수 있는 유일한 정보는 원천 및 목적지포구번호이다. 
그런데 어 떤 봉사들은 같은 원천 및 목적 지포구번호를 리용하므로 이 정 보는 많은 정 황 
에서 적게 리용된다. 

실례로 두 령역 이름봉사기 ( DNS ) 가 정보를 교환하고 있을때 그것들은 원천 및 
목적 지포구번 호로 53을 리용한다. 많은 다른 봉사들과 달리 그것 들은 1023보다 큰 
응답포구를 리용하지 않는다. 이것은 정적파케 트려과기 가 DNS 자료흐름을 한 방향 
으로만 제 한하는 효과적 인 방법 이 없 다는것 을 의 미한다. 그러 므로 포구 53에 로의 
들어 오는 자료흐름을 막을수 없다. 왜냐하면 그것은 자료응답과 함께 자료요청도 
막기 때 문이 다. 
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그림 5-2. UDP 머리부해신 


이 것 으로 하여 많은 경 우들에 서 정 적파케 트려과기 에 의하여 UDP 자료흐름을 조절하 
는 유일하게 효과적 인 방법 은 그 포구를 막든지 또는 그것 을 통과시키 게 하고 좋은 결 
과가 있기를 바라는것뿐이다. 대부분의 사람들은 UDP 자료흐름을 곡 통과시켜야 할 필 
요가 없다면 대체로 전자의 경우로 고정시키고 있다. 


ICMP 의 파케트려과 

인터네 트조종통보문규약 ( ICMP ) 은 IP 규약에 대 한 배 경지원을 제공한다. 그것은 사용 
자자료를 나르는데 리용되지 않고 모든것 이 원만하게 돌아 가고 있다는것을 보증하기 위 
한 관리 과제 를 위하여 리 용된다. 실례 로 Ping 은 ICMP 를 리용하여 두 호스트사이 에 련결 
이 있다는것을 보증한다. 그림 5-3 은 ICMP 머 리부의 파케트해신을 보여 준다. 


주 의 

ICMP 는 봉사포구를 리용하지 않는다. ICMP 파케트의 형식을 식별하기 위한 형 
식 ( Type ) 마당과 현재 의 대 화에 대 한 보다 상세한 정 보를 제 공하기 위한 코드 
( Code ) 마당이 있다._ 


코드마당은 좀 혼돈이 될수 있다. 실례 로 그림 5-3 에서 코드는 Protocol Unrea 
chable : Host Unreachable 로 되여 있다. 이것은 목적지체계가 응답하지 않고 있다고 생각 
하게 할수 있다. 만일 ICMP 파케트에 대한 원천 IP 주소를 Original IP Packet Header 의 
뒤 에 있는 목적 지주소와 비 교한다면 그것 들이 갈다 (10. 1 . 1 . 100) 는것 을 알게 될것 이 다. 
그러므로 목적지가 사실상《도달불가능》하다면 어떻게 그것이 이 응답을 보낼수 있었 
을가? 

이 두 코드들의 결 합은 사실상 요청된 봉사가 준비 되 여 있지 않았다는것 을 의 미한다. 
만일 그림 5-3 의 웃부분을 보면 이 응답을 촉발시 킨 전송은 resume . txt 에 대 한 TFTP 요청 
이 있다는것을 알수 있다. 목적지호스트만이 규약도달불가능오유를 낼수 있다. 표 5-3 은 
ICMP 파케트에 대한 여 러가지 형식마당값들을 식별한다. 
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ICMP Type3 코드마당값들 


이， 

설 명 

Net Unreachable 

경로조종오유(경로정보가 없는것과 같은)나 불 

충분한 TTL 값으로 하여 목적 지망에 도달할수 

없다. 

Host Unreachable 

경로조종오유나 불충분한 ni 값으로 하여 목적 

지호스트에 도달할수 없다. 

Protocol 

Unreachable 

접속한 목적지호스트가 요구되는 봉사를 제공하 

지 않는다. 이 코드는 대 표적으로 호스트로부터 

귀환되며 다른것들은 모두 그 경로에 따르는 경 

로기로부터 귀환된다. 

Fragmentation 

Needed and 

Don’t Fragment 

Was Set 

배달하려는 자료가 보다 작은 파케트크기를 가 
지는 망을 통과하여야 하는데 《don’t fragment) 

비트가 설정되여 있다. 

Source Route 

Failed 

전송된 파케트에는 그 경로가 목적지호스트뒤에 

있어야 한다고 지적되여 있는데 경로정보가 정 

확치 않다. 


中 e 가 redirect ( Type =5) 일 때 리용될 수 있 는 코드들을 보여 주고 


ICMP TypeS 코드마당값들 


이 름 

설 명 

Redirect Datagram 

국부망우의 또 하나의 경로기가 목적지부분망 

for the Network (or 

에로의 보다 좋은 경로를 가지고 있다는것을 

Subnet) 

지시 한다. 

Redirect Datagram 

국부망우의 또 하나의 경로기가 목적지호스트 

for the Host 

에로의 보다 좋은 경로를 가지고 있다는것을 

지적 한다. 


값들에 기초하여 려과를 진행하면 간단히 원천 및 목적지 ip 주소 
세밀한 조종을 할수 있다. 그러나 모든 파케트려과기가 다 모든 
&수 있는것 은 아니 다. 실례 로 많은 려 과기 들은 Code 값은 고려하 






그림 5 -4.목적지도달불가능한 통보문을 막는 문제 

이제 그림 5-4 에 보여 준것과 류사한 망구성을 가지고 있다고 가정하자. 그 국부망 
은 통표고리형위 상구조를 가지 고 있고 원격기 업 상대 는 이씨네 트망을 가지 고 있 다. 자기 
의 기 업상대 에 게 최 신의 제 품갱 신정 보와 개 발정 보를 받기 위하여 국부 Web 봉사기 에 접 근 
하게 하려고 한다. 

이제 경 로기 가 들어 오는 ICMP 목적지 도달불가능통보문을 막고 있다고 가정 하자. 외 
부공격 자가 틀린 호스트도달불가능 ( Type =5， Code = l ) 통보문을 보내지 못하게 함으로써 
봉사거 부공격 을 막는 방법 으로 하였 다. 경 로기 가 파케트러 과능력 을 제 한하였 으므로 모든 
ICMP Type =5 자료흐름을 막아야 한다. 

그러나 이것은 어떤 문제들이 생기게 할수 있다. 기업상대의 종업원들이 그 국부 
Web 봉사기에 접근하려고 할 때 그들은 그 어떤 HTML 폐지도 볼수 없게 될수 있다. 이 
문제는 다음과 같이 나타나며 혼돈될수 있다. 

• 이써네 트토막에 위 치 한 워 크스테 이 션의 열 람기 는 목적 지호스트이 름을 IP 주소 
로 변환하는것처럼 보인다. 

• 그 열 람기는 목적지 Web 봉사기 에 련결한것처 럼 보인다. 

• 만일 어느 한 경로기가 대화가입등록을 제공한다면 자료흐름은 두 체계사이에 
서 흐르는것으로 나타난다. 

• 국부 Web 봉사기우에서의 가입등록은 그 워크스테이션이 그 Web 봉사기에 련결 
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되고 많은 파일들이 제공되였다는것을 의미한다. 

그러면 무엇이 잘못되였는가? 공교롭게도 모든 Type=3 인 자료흐름들을 막음으로써 
Fragmentation Needed(Type=3 , Code=4) 오유통보문도 막았다. 이것은 경로기로 하여금 
전송되 는 자료흐름의 평 균전송단위 (MTU) 를 조절 하지 못하게 한다. 

MTU 는 하나의 자료파케 트에 의하여 전송될수 있는 최 대 유효자료크기 를 의 미한다. 이 
써네 트환경 에서 MTU 는 1.5KB 이 다. 통표고리 형환경 에서 는 MTU 가 16KB 만큼 콜수 있 다. 
경로기가 목적지망에 대하여 너무 큰 파케트를 받으면 그것은 전송체계에 요청을 보내여 
그 자료를 보다 작은 덩어리로 쪼갤것을 요구한다 (ICMP Type=3, Code=4) . 경로기가 이 자 
료를 자체 로 토막화하려고 하면 또 자기의 완충기억 에 자리 가 있는가 하는 문제 가 제 기된 
다. 그러므로 원격체계 가 보다 작은 파케트를 전송하도록 하는것 이 더 쉽다. 

그래서 그림 5-4 에서의 자료흐름을 본다면 다음과 같다. 

1. 하나의 이써네 트워 크스테 이 션이 HTML 자료요청 을 만든다. 

2. 이 요청 이 목적지 Web 봉사기 에로 전달된다. 

3. 두 체 계는 64byte 파케 트를 리 용하여 TCP 3 -파케 트련결신호를 수행한다. 

4. 일 단 련결 신호가 완성 되 면 Web 봉사기 는 16KB MTU 를 리 용하여 자료요청 에 
응답한다. 

5. 이 응답은 원격이써네트망에 있는 경로기에 도착한다. 

6. 이써 네 트경 로기 는 토막화요청 (ICMP Type=3, Code=4) 을 Web 봉사기 에 보내 
여 1.5KB MTU 를 사용할것을 요구한다. 

7. 이 요청은 통표고리형망의 경계경로기에로 돌아 간다. 

8. 이 경로기는 자기의 ACL 을 검사하고 모든 목적지도달불가능통보문 (ICMP 
Type=3) 을 중단하도록 하여 그 파케트를 취소한다. 

토막화요청은 국부망에 로 돌아 오지 않으며 원격기 업상대 는 목적하였 던 Web 페지 를 
볼수 없 다. 정 적파케 트려 과를 리용할 때 항상 막거 나 허 용하고 있는 자료흐름의 결 과를 
자기 가 완전히 리해하도록 하여 야 한다. 


정적파케트려 과에 대한 요약 

정 적파케 트려과기 는 비지 능적 인 려 과장치 이 다. 이 것 들은 발전된 공격 형 태 들은 거 의 
막아 내지 못한다. 이것들은 어느 자료흐름이 허용되고 어느 자료흐름은 막아야 하는가 
를 결 정하는데 최 소량의 정 보만을 리용한다. 많은 경 로기 들은 정 적파케 트려과를 수행하 
는 능력을 가지고 있다. 

동적과케트려과 

동적파케 트려과는 정 적파케트러 과보다 한걸 음 전진한것 인데 통신대화의 상태 를 감시 
하기 위한 련결표를 가지고 있다. 그것은 그저 기발설정에만 의존하지 않는다. 이것은 
자료흐름을 더잘 조종하는데 리용될수 있는 강력한 기 능으로 된다. 
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실례로 한 공격자가 어떤 체계에 그것을 기능정지시키도록 설계된 내용을 가지는 자 
료파케트를 보낸다고 하자. 공격 자는 이 파케트가 내부체 계 가 요청 한 정보에 대 한 응답 
으로 보이도록 하기 위하여 어떤 속임수를 쓸수 있다. 보통의 파케트려과기는 이 파케트 
를 분석하여 보고 ACK 비트가 설정된것 을 알고는 이것 이 자료요청 에 대 한 응답으로 보 
고 속히우게 된 다. 그리 고 그것 을 내 부체 계 로 운수 좋게 (공격 자에게 는) 통과시 킨다. 

그러 나 동적파케 트려과는 그렇 게 쉽 게 속지 않는다. 정 보가 수신되 면 동적파케 트려 
과기 는 자기 의 련결 표 (때 로는 상태표라고도 부론다. ) 를 참고한다. 표항목들을 조사하여 
보고 동적파케 트려과기 는 내 부체 계 가 이 외 부체 계 와 실제 적 으로 련결되 여 있지 않으며 
자료요청을 보내지 않았다는것을 알게 된다. 이 정보는 명백히 요구되지 않았으므로 동 
적파케트려과기는 그 파케트를 버리게 된다. 


동적파케트려과기의 동작 

동적파케 트려과기 가 보안을 얼마나 강화하는가를 더 잘 알기 위하여 그것 이 어 떻게 
동작하는가를 보기 로 하자. 그림 5-5 에서 두개의 분리된 망구성을 볼수 있다. 하나는 내 
부호스트가 정 적파케 트려 과에 의하여 보호되 는것 이 고 또 하나는 동적파케 트려과를 리용 
하는것 이 다. 


보호된 콤4터 


-기 —— _ 다 

동적 파케트 
려과 

보호된 콤4터 

그림 5-5. 정적 및 동적파케트려과사이의 차이 

이제 이 두 방화벽장치들이 어떻게 자료흐름조종을 하는가를 알기 위하여 몇 가지 접근 
규칙들을 고찰하자. 두 방화벽 에서 다 ACL 은 다음과 같이 규정 한다. 

• 보호된 호스트는 원격봉사기 와 임의의 봉사대화를 설정할수 있다. 

• 이미 설정된 임의의 대화는 통과를 허용한다. 

• 모든 다른 자료흐름은 정지된다. 



원격 봉사기 


-- 


정적 파케트 
려파 


몇 Is 
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첫번째 규칙은 보호되는 호스트가 원격봉사기와의 련결을 설정하는것을 허용한다. 
이것은 SYN 비트가 1인 파케트가 통과되도록 허용되는 유일한 경우는 원천주소가 보호되 
는 호스트의것이고 목적지는 원격봉사기인 경우라는것을 의미한다. 바로 이때 원격봉사 
기에서의 임의의 봉사는 접근가능하다. 

두번째 규칙은 포괄적 인것 이 다. 기본적으로 그것은 다음과 같이 규정 하고 있다. 《자료 
흐름이 이전에 설정된 련결의 부분으로 나타난다면 그것을 통과시키시오.》다른 말로 하면 
SYN 비트가 설정되지 않고 다른 모든 비트들이 0이라면 그 자료흐름은 통과라는것이다. 

세번째 규칙은 어 떤 자료흐름이 첫 두개의 규칙 들중 어 느것 에 득 맞지 않는다면 안 
전을 위하여 그것 을 버 리 라는것 이 다. 이 두 방화벽 은 다 좋은 ACL 을 리용한다. 그 차 
이는 자료흐름을 조종하기 위하여 매개에 준비되여 있는 정보의 량에 있다. 어떤 자료 
흐름을 전송하고 무엇이 발생하는가를 보기로 하자. 




그림 5-6. 보호된 호스트로부터의 련결설정 


그림 5-6 에 서 내 부체 계 는 원격봉사기 와의 하나의 통신대 화를 설 정하려 고 하고 있 다. 
모든 통과하는 자료흐름은 접 근조종목록에 설정된 기 준을 만족시키 므로 두 방화벽 들은 
이 자료흐름들을 통과시 킨다. 

일단 련결신호가 완성되면 보호된 호스트는 하나의 자료요청을 만든다. 이 파케트는 
ACK 비 트가 설정되 여 있고 PSH 비 트도 설정되 여 있을수 있다. 원격봉사기 가 이 요청 을 
받으면 그것 도 ACK 비 트를 설 정 하고 가능하게 PSH 비 트도 설 정하여 응답할것 이 다. 일 단 
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그림 5-7 은 이 설정 된 대 화가 자료를 통과시키 는것 을 보여 준다. 두번째 규칙 
사 미 설정된 임의의 대 화는 통과시 킨다.》에 의하여 방화벽을 통과하는데서 문제 가 
a 본다. 그러나 매개 방화벽은 이 결정을 하는데서 약간의 차이를 가지고 있다. 

정 적파케 트려과기 는 기 발마당을 조사하여 SYN 비 트만이 1인가를 알려 고 한다. 그 
되 여 있지 않으므로 정 적파케 트려 과기 는 이 자료가 설정된 대 화의 부분이 라고 가정 
그것을 통과하도록 한다. 

동적파케 트려과기 는 같은 검 사를 하고 있지 만 그것 은 련결 이 처 음으로 설정되 였 
>11는 하나의 상태표항목을 만든다. 원격봉사기 가 보호된 호스트에 응답하려 고 할 때 
상태표를 참조하여 다음의 내 용을 담보하게 된 다. 









• 보호된 호스트가 하나의 자료요청을 실계로 만들었다. 

• 원천포구정보는 자료요청과 맞는다. 

• 목적지포구정보는 자료요청과 맞는다. 

또한 동적파케트려과기는 순서번호와 답례번호도 다 맞는가를 확인할수 있다. 이 모 
든 자료가 정확하다면 동적파케트려과기는 그 파케트를 통과하도록 한다. 매 체계에서 
FIN 파케트가 전송되면 그 상태표항목은 제거된다. 또한 만일 일정한 시간동안(구성에 
따라서 lmin 이 나 지 어 lh 동안) 응답이 접 수되 지 않으면 방화벽 은 그 원격봉사기 가 더 는 
응답하지 않고 있 다고 판단하고 그 상태표항목을 다시 지운다. 이것 은 현재 의 상태표를 
그대 로 유지 한다- 

이 제 공격 자가 이 자료흐름을 눈치 채고 그 보호된 호스트를 공격하기로 결심하였다 
고 하자. 그가 하려고 하는 첫째 일은 보호된 체계를 포구주사하여 그것이 어떤 듣는 봉 
사를 가지고 있는가를 알아 내는것이다. 그림 5-8 에서 볼수 있는바와 같이 이것은 두 방 
화벽 장치 들이 다 막을수 있다. 그것 은 초기 주사하는 파케 트들은 SYN 비 트가 1로 설정 되 
여 있고 다른 모든 비트는 0이기때문이다. 



그림 5-8. 두 려과방법은 포구주사를 막을수 있다. 


실망하지 않고 공격 자는 ACK 와 FIN 비트가 1인 파케트를 전송함으로써 FIN 주사 
를 하려 고 시도한다. 이 제 그 결과는 좀 다르다. 파케 트려과기 는 그저 SYN 비 트가 1 
인것 을 찾고 있으므로 이 조건이 성 립안되 는것 을 보고는 이 자료흐름을 쉽 게 통과시 
키게 된다. 

그러 나 동적파케 트려과기 는 좀더 까다롭다. 그는 SYN 비 트가 설정되 여 있지 않 
다는것을 알고는 이 자료흐름을 상태표와 비 교하기 시 작한다. 이 점 에서 그는 우리 
의 보호된 호스트가 공격 자와 결 코 통신대화를 설 정하지 않았다는것 을 알게 된다. 
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우리의 호스트가 먼저 하지 않았다면 공격자가 하나의 대화를 끝내려고 할 아무러한 
리유도 없다. 그러 므로 이 자료흐름은 통과하지 못한다. 이것을 그림 5-9 에서 보여 
주었다. 



그림 5-9. FIN 주사를 진행한 결과 


그러 면 만일 공격 자가 원격봉사인것 처 럼 가장하여 방화벽 을 속이 려 고 한다면 
어떻게 되겠는가? 그가 이 공격을 성과적으로 수행하자면 많은 조건들이 갖추어 
져 야 한다. 

• 공격 자는 원격봉사기 의 IP 주소를 속이거 나 가정 하여 야 한다. 

• 주소가 가정되 였 다면 공격 자는 더 측정 을 하여 원격봉사기 가 스스로 요청 들 
에 응답할수 없다는것을 확인하여 야 한다. 

• 주소를 속였다면 공격 자는 도선에 불지 않고 응답들을 읽는 어떤 방법을 가 
지고 있어야 한다. 

• 공격 자는 리용하고 있는 원천 및 목적 지봉사포구들을 알아 냄 으로써 자기 의 
자료흐름이 상태표의 그 항목들과 맞도록 하여 야 한다. 

• 실 현 방법 에 따라 답례 및 순서번 호들도 맞아야 한다. 

• 공격 자는 방화벽 과 보호된 호스트에서 의 시 간초과를 피 하기 위하여 충분히 
빨리 통신대화를 처 리하여 야 한다. 
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이러한 공격을 가하는것은 가능하지만 성공하기는 쉽지 않다. 명백히 공격자는 지식 
이 매우 많아야 하며 이 모든 노력에 의하여 많은것을 얻으리 라고 생각하여 야 한다. 

이러한 론의는 다만 리론적인것이라는것을 알아야 한다. 특정의 방화벽제품을 가졌 
을 때의 실제적인 정황은 달라 질수 있다. 실례로 이 책을 쓰는 기간에도 Check Point 의 
방화벽 -1이 라는 제 품 (이 것 은 동적파케 트려 과기 이다. ) 이 많이 선전되 였는데 그 내 용은 규 
칙 모임 이 변화된후에 도 상태 표가 유지 되 게 한다는것이 였 다. 

그런데 이 특징은 또한 상태가 항상 그렇게 효과적으로 유지되지는 않는다는것도 의 
미 하고 있다. 방금 서술된 HN 주사식공격 에서 Check Point 의 방화벽-1은 주사파케 트들까 
지 통과시켰다. 

UDP 자료흐름과 동적파케트려과 

앞에 서 본것 처 럼 정 적파케 트려과는 UDP 자료흐름의 취 급과 관련 하여 몇 가지 실제 
적인 문제들을 가지고 있다. 그것은 UDP 머리부가 련결상태에 대해서는 정보를 가지 
고 있지 않기때 문이 다. 그러 므로 동적파케 트려과가 매 우 유용한것 으로 되 고 있는데 
여 기서 는 방화벽 자체 가 상태정 보를 기 억할수 있는것 이 다. 그것 은 파케 트머 리부안에 
있는 정 보에 의 거하는것 이 아니 라 모든 대 화들의 상태 와 관련하여 자기 의 표를 가지 
고 있다. 


일러두기 

UDP 자료흐름을 통과시키려고 할 때에는 정적려과가 아니라 동적려과를 사용할 
것 을 강하게 권고한다. 상태표정보를 추가함으로써 이 방화벽방법 은 봉사에 서 
손실 보는것보다 보안을 훨씬 더 강화하였다. 


망의 전송중규약이 지원되 fegh 

동적파케 트려과의 실 현은 전송층규약에 따라 다르다. 그것 은 TCP , UDP 그리 고 
ICMP 와 같은 매 전송층규약에 대 하여 특징 적 으로 실 현되 여 야 한다는것 을 의 미한다. 동 
적파케 트려 과기 를 선택할 때 그 방화벽 이 자기 가 리용하려 하는 모든 전송층규약들에 대 
하여 상태 를 유지할수 있는가를 확인해 보아야 한다. 

실례 로 방화벽-1의 판본 1. x 에서 상태 는 다만 UDP 자료흐름에 대 해서 만 유지되 였다. 
그리 고 TCP 와 ICMP 는 정 적파케 트려 과와 같은 방법 으로 처 리 되 였 다. 판본 2. 표가 나와서 
야 TCP 자료흐름에 대 하여 서 도 상태 가 유지 되 였 다. 

동적파 케트려과에 대한 요약 

동적파케 트려과기 는 파케 트속성 과 상태표에 기 초하여 자료흐름조종결정 을 만드는 지 
능적 인 장치 이 다. 상태표가 있음으로 하여 방화벽장치 는 이 전의 통신파케 트교환을《 기 
억》하고 이 보충적 인 정 보에 기 초하여 판단을 하게 되 는것 이 다. 

동적파케 트려 과기 의 가장 큰 제 한성 은 그것 이 파케 트안에 포함된 실제자료인 유효내 
용에 기초한 려과결정을 할수 없는것이다. 유효내용에 따라 려과하기 위하여서는 대리자 
에 기 초한 방화벽 을 리용하여 야 한다. 
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상태려과 


상태려과는 동적 파케트려과의 능력을 개선한다. 처음에는《여 러준위상태검사》라 
는 이름으로 Check Point 에 의하여 실현되였는데 상태규칙들은 규약에 따라 다르며 대 
화(상태가 아니라)의 문맥을 계속 기억하고 있다. 이것은 려과규칙들로 하여금 비련결 
성특성으로 하여 이전에 정적려과에서는 관리에서 면제되고 동적려과에서는 유일하게 
식 별 되 지 못하였 던 여 러 가지 무접 속형규약들 ( UDP , NFS 그리 고 RPC 와 같은) 을 구별 
할수 있게 한다. 

상태 려과가 동적 려과에 제 공되 는 가장 큰 보충은 련결 상태 가 아니 라 응용프로그람 
상태를 유지 하는 능력 이 다. 응용프로그람상태는 이전에 인증된 사용자가 재위임 이 없 
이 새로운 련결을 만들수 있게 허용한다. 또한 련결상태는 하나의 대화기간 그 권한을 
유지 한다. 

이것의 한가지 실례는 사용자인증에 기초한 내부접근을 허용하는 방화벽 이다. 만일 
한 인증된 사용자가 다른 하나의 열람기를 열려고 한다면 동적려과경로기는 그 사용자에 
게 그의 통과암호를 요구할것 이 다. 그러 나 상태 려 과는 이 미 존재하는(그리 고 동시 에 발 
생하는) 련결은 그 같은 기계 에 대 하여 유지되고 있다고 인식 하고 자동적으로 추가적 인 
대화를 허용한다. 

대리자 

대 리 자봉사기 (때 로 응용프로그람관문 또는 송달자라고도 한다. )는 두 망토막사이에 
서 자료흐름을 중개하는 응용프로그람이다. 대 리 자는 흔히 려과기대 신으로 리용되 여 자 
료흐름이 두 망사이에서 직 접 통과되 지 않도록 한다. 대 리 자가 중개 자로 동작하면 원천 
및 목적지체계들은 사실상 서로 련결되여 있지 않게 된다. 대리자는 모든 련결시도에서 
중개자로 역할한다. 

대리자가 어떻게 자료흐름을 통과시키는가 

파케 트려 과기 와 달리 대 리 자는 자료흐름의 경 로를 지 정하지 않는다. 

사실상 적당히 구성된 대 리자는 모두 경로조종기능을 가지고 있지 않다. 

그 이름이 귀띔하는바와 같이 대리자는 방화벽의 매측의 매 체계를 맡아 보거나 또 
는 대변 한다. 

한가지 비 유로써 언어번역 기 를 통하여 말하고 있는 두 사람을 생 각해 보자. 이 두 
사람이 회화를 하고 있는것은 사실이지만 그들은 사실상 서로에게 말하고 있는것이 아니 
다. 모든 통신은 다른쪽으로 통과되기전에 번역기를 거치게 된다. 번역기는 리용된 언어 
의 일부를 씻어 내거나 또는 적대적이라고 느껴 지는 말들은 려과해 버릴수 있다. 

이것 이 어 떻게 망통신과 관련되겠는가를 알기 위하여 그림 5-10 을 보기 로 하자. 내 
부호스트는 원격봉사기 로부터 하나의 Web 폐 지 를 요청하려 고 한다. 그것 은 그 요청 을 형 
식화하고 그 정 보를 원격 망을 이 끄는 관문에 로 전송한다. 이 경 우에 관문은 대 리 자봉사 
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기이다. 

대리자가 그 요청을 받으면 그것은 내부호스트가 어떤 형태의 봉사에 접근하려고 하 
는가를 식 별한다. 이 경 우에 호스트는 Web 페지를 요청하였으므로 대 리 자는 그 요청 을 
HTTP 대 화를 처 리하는데 리용되 는 응용프로그람에 로 보낸 다. 이 응용프로그람은 HTTP 
통신을 취급하는 하나의 기능을 가지 고 기 억기 에서 돌아 가는 하나의 프로그람이다. 



그림 5-10. 통신대화를 중개하는 대리자 

HTTP 응용프로그람이 이 요청을 받으면 그것은 ACL 이 이러한 형식의 자료흐름을 허 
용하는가를 확인한다. 자료흐름이 허 용된 다면 대 리 자는 원격봉사기 에 보낼 하나의 새 로 
운 요청 을 형 식 화한다. 이 때 그것 은 원천체 계 로서 자기 자신만을 리용한다. 다른 말로 하 
면 대 리 자는 그 요청 을 간단히 통과시키 지 않고 원격 정 보를 위한 하나의 새 로운 요청 을 
만드는것 이 다. 

이 새 로운 요청 은 다음에 원격봉사기 에 전송된 다. 요청 이 망분석 기 에 의하여 검 사되 
면 그것은 내부호스트가 아니 라 대 리자가 그 HTTP 요청을 만드는것으로 본다. 그러므로 
원격 봉사기는 대 리 자봉사기 에 로 응답하게 된 다. 

대리자봉사기는 응답을 받으면 그 응답을 또 HTTP 응용프로그람에 보낸다. 그러면 
HTTP 응용프로그람은 원격봉사기 가 보낸 자료를 비 정 상이 없는가를 세밀히 검 토한다. 만 
일 자료가 접수가능하다면 HTTP 응용프로그람은 하나의 새로운 파케트를 만들어 그 정보 
를 내부호스트에 전송한다. 

알수 있는것처럼 두 끝체계는 사실상 직접적으로 정보를 교환하지 않는다. 대리자는 
부단히 대화에 끼여 들어 그것이 다 안전하다는것을 확인한다. 

대 리 자는 리용되 고 있는 응용규약을《 리 해》하여 야 하므로 그들은 규약과 관련 한 
보안을 실현할수도 있다. 실례 로 내 부 FTP 대 리 자는 외 부체 계 에 의하여 수신되 는 Put 와 
mput 요청 들을 모두 려과해 내 도록 구성 될수 있다. 이것 은 읽 기 전용 FTP 봉사기 를 만드는 
데 리용될수 있다. 방화벽밖의 사람들은 FTP 봉사기에 파일쓰기를 요구하는 명령을 보낼 
수 없다. 그러나 그것들은 FTP 봉사기로부터 파일을 수신하게 하는 파일얻기명령을 수행 
할수 있다. 
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일러두기 

대리자봉사기는 응용프로그람에 따라 다르다. 대리자를 통하여 새로운 규약을 
지원하도록 하기 위하여서는 그 규약을 위한 대리자가 개발되여야 한다. 만일 
대 리자방화벽을 선택 한다면 그것 이 자기가 리용하려 고 하는 모#'응용프로그람 
들을 지원하는가를 확인하여야 한다. 


꽂개식관문 (plug gateway ) 이라고 부르는 간단한 대리자도 있다. 그것들은 지원하 
는 응용프로그람을 리해하지 않으므로 진짜대 리 자라고는 말할수 없다. 꽃개 식관문은 
그저 특정 의 봉사포구를 위한 련결성 을 제 공하며 동적 려과보다 더 큰 리득을 주는것 
은 없다. 


대리자환경에서 의뢰 기구성 

어떤 대리자봉사기들은 모든 내부호스트들이 SOCKS 나 변경된 winsock.dll 파일과 같 
은 련결쏘프트웨어를 돌릴것을 요구한다. 이 매 프로그람은 하나의 기능을 봉사한다. 즉 
모든 비국부적자료흐름을 대 리 자에게 로 전송한다. 환경 에 따라 이것은 매우 리 롭거 나 또 
는 아주 나쁘게 될수도 있다. 

대리자의뢰기의 우점 

대 리 자의뢰 기 쏘프트웨어 를 돌리 면 많은 우점 이 있 다. 첫째 는 구성 이 쉬 운것 이 다. 의 
퇴 기 는 모든 비 국부자료요청 들을 대 리 자에 게 보내 도록 설 계 되 므로 유일 하게 요구되 는 구 
성 정보는 유효한 IP 주소들과 부분망마스크이다. 경 로기 와 DNS 파라메 터 들은 무시 될수 있 
다. 그것은 이 정보가 대리자우에서 구성될 때에만 필요하기때문이다. 

사실 상 많은 대 리 자들은 통신규약으로 IP 를 리용할것 조차 요구하지 않는다. 
실례로 Microsoft 대리자봉사기 2. 0은 하나의 교체 winsock . dll 파일을 가지고 있 는데 
그것은 IPX 가 국부워크스테이션에 리용되도록 허용한다. 일단 자료흐름이 대리자 
에 게 도달하면 그것은 IP 로 변환되 여 원격봉사기 에 전송된다. IPX 가 지배 적 인 환 
경에서 이것은 망에 추가적인 규약을 돌릴것을 피할수 있는 매우 간단한 방도로 
될수 있 다. 

대 리 자의뢰기는 둘째 로，가입이름과 통과암호에 기초한 외부련결시도를 허가하 
기 위 하여 투명 한 인증을 제 공한다. 실례 로 노벨의 BorderManager 는 NetWare 등록부 
봉사 ( NDS ) 와 결 합되 여 사용자가 인 터네 트에 접 근할 때 그것 을 투명하게 인증한다. 
사용자가 NDS 에 인증되 는 한 그 사용자는 인 터네 트자원에 접 근할 때 통과암호를 
넣 지 않아도 된다. 


죽 __°1 

바깥방향대화의 사용자인증은 증가된 가입등록과 관리를 위하여 리용된다. 인 
증이 리용되 지 않는다면 방화벽 은 원천 IP 주소에 의 거하여 누가 어 느 인터네트 
자원에 접근하였는가를 식별하여야 한다. 이것은 하나의 문제로 될수 있다. 자 
기의 신원을 변경시키려면 사용자는 자기의 IP 주소를 변경시켜야 한다. 이것은 
DHCP 또는 Bootp 환경 에 서 자기 의 모•사용자들을 추적하려 고 한다면 심 중한 
문제 로 될 수 있다. 


145 



대리자의뢰기의 부촉점 

대리자의뢰기를 리용하는데는 많은 부족점도 있다. 우선 배비이다. 만일 대리자봉사 
기 를 리용하려 고 하는 1000개 의 기 계를 가지 고 있다면 이 매 기 계들에 보충적 인 쏘프트 
웨어를 적재하여야 한다. 쏘프트웨어호환성도 문제로 된다. 어떤 응용프로그람들은 교체 
winsock . dll 와 호환가능하지 않다. 실례로 Winsock 2. x 를 요구하는 응용프로그람들이 지금 
있음에 도 불구하고 많은 Winsock 교체 프로그람들은 아직 1. x 명 세 로 작성 되 고 있 다. 

그러면 많은 탁상콤퓨터들이 Windows 를 돌리지 않는다면 어떻게 될것인가? 많은 대 
리 자들은 Windows 가 아닌 조작체계 에 대 한 의뢰기쏘프트웨어를 제공하지 않는다. 이 경 
우에 는 자기 가 리용하려 고 하는 모든 IP 응용프로그람들이 SOCKS 호환인가를 확인하여 야 
한다. TELNET 와 FTP 와 같은 많은 IP 응용프로그람들의 SOCKS 판이 있으나 좋아 하는 
응용프로그람이 SOCKS 호환이 아닌것은 유감스럽게도 흔히 있는 일이다. 

의뢰기쏘 프트웨 어도 이동사용자 또는 휴대형콤퓨터사용자들에 게 있어서 문제 로 된다. 
실례 로 한 휴대 용콤퓨터 사용자가 낮에 는 국부망에 련결 하고 밤에 는 자기 의 인터네 트봉사 
제 공자 ( ISP ) 에 전화접속한다고 하자. 이 경 우에 그는 자기 의 대 리 자의뢰기 가 낮에 는 쓸 
수 있지만 밤에는 쓸수 없다는것을 알아야 한다. 

마지 막으로 대 리 자의뢰기는 당신이 여 러개의 망토막들을 가지 고 있다면 실제 적 인 문 
제로 될수 있다. 이것은 대리자의뢰기가 모든 비국부자료흐름을 대리자봉사기에 전송할 
것 을 기 대 하고 있기때 문이 다. 이 것은 만일 많은 부분망들을 가지 는 큰 망환경 을 가지 고 
있다면 좋은 해 결책 이 못된다. 어 떤 구성 에서 는 일정한 부분망들을 대 리 자에게 자료전송 
하는데서 면제시키게 하고 있으나 이것은 국부워크스테 이 션에 보관된 본문파일을 변경시 
킬수 있 다. 

다시 만일 W 00 개의 탁상형를퓨터를 고려하고 있다면 부분망주소변화에 따라 그것들 
을 갱신하기 위하여 며칠밤을 새워야 할것이다. 


투명한 대리자 

모든 대리자들이 특수한 의뢰기쏘프트웨어를 요구하는것은 아니다. 일부는 투명한 
대리자로서 동작할수 있는데 그것은 모든 내부호스트들이 대리자가 마치도 인터네트에 
련결 하는 보통의 경 로기 인것 처 럼 구성 된 다는것 을 의 미 한다. 대 리 자가 자료흐름을 받을 
때 그는 그것을 그림 5-10 에서 본 실례 와 류사한 방법 으로 처 리한다. 

만일 대 리 자방화벽 이 자기 의 보안요구에 가장 잘 맞는다고 결 심 한다면 또한 투명대 
리자를 리용할것인지 아니면 비투명대리자를 리용할것인지를 결정하여야 한다. 많은 대 
리 자 프로 그람묶음에 대 한 시 장자료는 그것 이 특수한 의뢰기 쏘 프트웨 어를 요구하는가에 
대 하여 좀 애 매하다. 대 표적 으로 한 제 품이 SOCKS 를 지 원한다고 주장한다면 그것 은 투 
명 대 리 자가 아니 다. 그러 므로 방화벽문제 에 투자하기전에 그 요구를 알아야 한다. 


Java, ActiveX 및 HTML 스크립트들의 려과 

아는바와 같이 대리자들은 자료파케트의 유효내용을 분석하고 이 파케트를 통과시 
킬것 인가 떨굴것 인가를 결정할수 있다. 이것은 관리 자로 하여금 어떤 형식의 자료가 
망에 허 용되 여 야 하는가를 세심 히 분석할수 있는 강한 능력 을 가질수 있게 하는 좋은 
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특징 이 다. 내 용려과를 고찰할 때 대 부분의 사람들이 먼저 생 각하는것 은 Java 와 
ActiveX 이 다. 

Java 는 이식성 있는 프로그람언어이다. 이식성이란 그것이 임의의 망조작체계상에서 
돌수 있도록 설계 되 였 다는것 을 의 미 한다. 대 표적 으로 Java 지 원은 Java 지 향 Web 열 람기 의 
리용을 통하여 실 현된 다. Java 프로그람을 애 플레 트 ( applet ) 라고 부론다. 

ActiveX 는 Microsoft 의 대 상련결 및 매 몰 ( OLE ) 또는 요소대 상모형 ( COM ) 개 체 의 전 
문화된 실현 이 다. ActiveX 에 의 하여 ActiveX Control 이 라고 부르는 자급자족형 프로그람을 
만들수 있다. 

ActiveX Control 의 리 점은 그것 이 여 러 응용프로그람들에 공유될수 있다는것 이 다. 
ActiveX 는 프로그람언어는 아니 다. ActiveX Contr 이은 C ++, PowerBuilder , Visual Basic 또 
는 Microsoft Java 와 같은 다른 프로그람언어 들을 리용하여 만든다. 

Java 애플리트와 ActiveX Con 仕이은 봉사기로부터 가져 와서 어떤 호환가능한 Web 
열람기에서 돌릴수 있다. 이 프로그람들의 기능은 춤추는 아이콘으로부터 공유된 응용 
프로그람까지 많은것을 포함한다. 만들어 질수 있는 프로그람의 형식에는 얼마간 제한 
이 있다. 

이 로 하여 문제 가 시 작된다. Java 와 ActiveX 는 둘 다 보안을 고려하여 개 발되 였지 만 
( Java 가 ActiveX 보다 더 강하다.) 몇 가지 보안상 약점 이 발견되 였다. 


보안상 약점 들의 종류를 보려 면 Web 열 람기 로 www . digicrime . com 을 찾으시 오. 
이 싸이 트에 는 많은 Java 및 ActiveX 약점 들이 포함되 여 있 으며 이 프로그람들 
이 나쁜 손에 들어 가면 얼마나 위험한가를 보여 준다. _ 

Java 와 ActiveX 를 리용하는것 이 그리 좋지 않다고 생 각한다면 문제 는 그에 대 처하여 
무엇을 할수 있는가 하는것 이 다. 많은 대 리자방화벽들은 Java 와 ActiveX 프로그람코드들의 
전부 또는 일부를 려과해 낼수 있는 능력을 제공한다. 이로 하여 망사용자들은 나쁜 응용 
프로그람을 돌린다는 생각을 하지 않고 계속 원격 Web 싸이트들을 접근할수 있다. 



그림 5- 11. 프로그람코드를 려 과하게 하는 URI 정 의대 화칸 
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실례로 방화벽-1은 보안봉사기라고 부르는 대리자응용프로그람을 가지고 있다. 보안 
봉사기는 방화벽관리자에게 그가 려과하려고 하는 일정한 프로그람코드들을 식별하는 능 
력을 준다. 그림 5-11 은 방화벽-1관리자에게 그가 려과하려고 하는 코드형태들을 골라 
낼수 있게 하는 URI 대화칸를 보여 준다. 

HTML Weeding 검사칸은 관리자로 하여금 Java 스크립트, Java 애플리트 또는 지어 
ActiveX Con 仕이에 대 한 모든 꼬리 표참조를 려과하게 한다. 

Block Java Code 검 사칸은 방화벽 이 모든 Java 프로그람코드를 려과하게 한다. 이 선 
택들의 결합은 어떤 형태의 자료들을 내부 Web 열람기에 도달하게 할것인가를 결정하는데 
서 어떤 유연성을 제공한다. 


주 의 

이 특징들을 가능으로 하면 좋은것과 나쁜것을 구별하지 않고 다 막는다. 다른 
말로 하면 당신의 선택 은 전체 또는 아무것 도 없을수 있다. 그러 나 《 나쁜 프 
로그람 코드》 라고 알려 진것 만 선택 적 으로 려과해 내 는 대 리 자들이 있다. 이 것 
은 Java 나 ActiveX 가 그 대리자에로 통과하게 하지만 그것은 낮은 보안수준에 
서 그렇 게 한다. 이 대 리 자들은 알려 진 문제 들만 려 과할수 있다. 이 것 들은 아 
직 발견된 약점 들을 보강할수 없 다. 가장 최 근의 약점 들에 머우르고 있지 않는 
한 아직 은 자기 의 방화벽 을 나쁜 코드들이 통과하는것 을 막을수 있다. 


어떤 류형의 방화벽들 리용하여야 하는가 

이 절의 제 목은 많은 뜻이 담긴 질 문으로 되 여 있 다. 이 질문을 방화벽토론에 제 시 
한다면 분명 격 렬 한 론쟁들이 시 작되 게 될 것 이 다(이 물음뒤 에 다음과 갈은 질 문을 덧 붙 
이는것이 좋다. 《나의 방화벽을 마킨토쉬, Unix, Linux, NT, Windows 2000 또는 제작 
자에 따르는 플래 트홈에서 돌려야 하는가?》). 

특정의 방화벽형 태를 선택하는데서 명백 하고 절대적 인것은 없다. 다르게 말하는 사 
탐이 있다면 그것은 자기의 제품을 실현하려고 그러는것이다. 비용，기업상의 필요 그리 
고 보안요구 등은 적당한 해결책을 찾고 있을 때 꼭 고려되여야 할 문제들이다. 

정적려과는 약하다고 생각되므로 그것은 경계선보안의 가장 낮은 수준이다. 그러나 
정적려과능력은 대부분의 경로기들에 준비되여 있으므로 이것은 가장 기초적인것으로 된 
다. 만일 영 구적 인 WAN 련 결 을 가지 고 있 다면 경 로기 를 리용할수 있다. 경 로기 를 가지 
고 있 다면 최 소로 정 적파케 트려과를 수행 하고 있 어 야 한다. 

동적려과 또는 대리자 

이 매 개 방화벽 들은 자기 의 장점 과 약점 을 가진 다. 동적 려과는 대 리 자보다 일 하기 
더쉽고 대부분의 기업요구에 더잘 맞는 능력을 가지고 있지만 대리자봉사기와 같이 그 
렇 게 세 밀 하게 골라 내 는데 서 는 유능하지 못하다. 동적파케 트려과와 대 리 자는 둘다 나쁘 
다고 알려 진 자료흐름을 차단하지만 애매한 자료에 대하여서는 매개가 약간 다르게 동 
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작한다. 

실례로 두개의 방화벽 즉 동적파케트려과기와 대리자를 가지고 있다고 하자. 그 
매개는 일정한 응용프로그람에 대하여 높은 우선권기발설정을 가지는 하나의 자료파케 
트를 수신하는데 이러한 형식의 자료를 어떻게 처리할것인가에 대하여서는 서로 다르 
게 프로그람화되였다. 대표적으로(그러나 항상은 아니다.) 동적파케트려과기는 문제의 
자료흐름을 통과시 키 며 대 리 자는 그것 을 떨 군다. 또한 대 리 자는 응용프로그람지 향이 므 
로 실제자료의 내용을 더 검열하지만 동적려과기는 그렇게 할수 없다. 이것은 경계선 
보호의 두가지형태에 대한 리론적비교이다. 실제적인 과정은 선택하는 구체적인 제품 
에 따라 변할수 있다. 

대리자는 좀더 안전하지만 그것들은 특정의 기업요구에 맞추는것이 보다 어렵다. 
실례로 많은 대리자들은 Microsoft 의 NetMeeting 이나 Real Audio 와 Video 와 같은 현대 
적 인 봉사들을 지 원 하는데서 는 좀 불편 하다. 그러 므로 경 계 선보안의 수준은 더 높지 
만 대 리자가 그것이 보호하는 기관의 기업요구를 맞출수 없다면 그것은 즐겁지 못한 
것이다. 

가장 안전한 경 계 선보안장치 는 한쌍의 도선절 단기 이다. 적 당한 방화벽선택 은 가장 
높은 보안수준을 가능하게 하면서 련결 성 에 대 한 기 업 요구를 모두 만족시키 는것 이 다. 보 
충으로 말하면 좋은 방화벽 제 품은 가장 높은 보안수준과 유연성 을 제 공하기 위하여 동적 
파케 트려과와 대 리 자기 술을 결 합한것 이 다. 

어느 플래트홈들 선택하여야 하는가 

적 당한 방화벽플래 트홈의 선택 은 적 당한 연구가 끝난 다음에 야 만들어 야 할 개 인 
적인 결심이다. 

이 절에서는 독자들에게 어느 플래트홈을 선택하라고 말하려고 하지 않는다. 여기서 
는 그저 매 플래 트홈의 장점 과 약점 들을 지 적하며 최 종적 인 결정 은 독자에 게 남겨 둔다. 
적당한 방화벽제품을 선택하는것과 마찬가지로 그것을 돌릴 조작체계를 선택하는것도 명 
백히 하나로 모든것 을 맞추는 관점 으로는 되 지 않는다. 

봉사기 에 기 초한 방화벽 과 응용에 기 초한 방화벽사이 에 는 한가지 중요한 차이 가 있 
다. 봉사기 에 기 초한 방화벽 은 조작체 계우에 서 돌아 가는 응용프로그람이다. 한가지 실 
례는 Check Point 의 방화벽-1인데 그것은 Windows NT 와 2000에서 돌아 간다. 응용에 기 
초한 방화벽 또는 집 적방화벽 은 전용하드웨 어 또는 쏘프트웨어 에서 돌아 가는 방화벽응 
용프로그람이 다. 실례로 Cisco PIX 방화벽이 집적 장치의 한 실례 인데 여기서 전체 체계는 
방화벽 이 아닌 다른 일은 할수 없고 봉사기의 전통적 인 구성부분들이 나 하드구동기도 가 
지고 있지 않다. 그것의 집적성과 전용적인 특성으로 하여 이 장치들은 봉사기에 기초한 
방화벽보다 전통적 으로 더 빠르고 더 믿 음직하며 더 안전한것 으로 평 가되 고 있 다. 한편 
봉사기에 기초한 방화벽들은 흔히 추가적인 구성을 제공하고 선택을 지원하며 집적화방 
법보다 더 눅을수 있다. 
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봉사기에 기초한 방화벽 


봉사기에 기초한 방화벽은 어떤 조작체계우에서 돌아 가는 응용프로그람들이 다. 다 
음과 갈은 플래트홈들에서 돌아 가는 방화벽들이 있다. 

• 마 킨토쉬 (Macintosh) 

• 유닉 스 (UNIX) 

• 리 눅스 (Linux) 

• Microsoft Windows NT 

• Microsoft Windows 2000 

마칸 토쉬 

대부분의 체계관리자들에게는 그렇게 될것 같지 않아 보이지만 마킨토쉬조작체계를 
위하여 설계된 방화벽제품들이 있다. 그리고 어떤 체계관리자들은 그 생각을 비웃을수도 
있지만 마크 (Mac) 에 기초한 안전한 인터네트체계들에 대한 인상적 인 실례들도 있다. 실 
례로 미군은 1999 년초부터 마킨토쉬 OS 에서 동작하는 WebSTAR 봉사기에서 자기의 Web 
싸이트를 운영 하고 있는데 그 봉사기 는 그이후 해 킹 당한적 이 없 다고 한다. 

그러나 마킨토쉬조작체계는 근본적인 변화를 겪고 있으며 그것은 20()1 년에 OS X(10) 
이 라는 소비 자판본을 출하하고 끝나게 되 여 있다. OS X 는 NeXTStep 조작체계에 기초하 
고 있 는데 그자체 는 마크의 핵 파 BSD (유닉 스의 Berkeley Software Dis 仕 ibution) 에 기 초하 
고 있다. Apple 은 OS 표의 원천 코드를 공개하였지만 그것은 그 핵을 마킨토쉬플래트홈에 
적 응시키 도록 하는 중대한 변화를 가져 왔다. 이 변화들 (DNS 와 HTTP 의 Apple 에 의한 
실현에 따르는)이 전체 로서 보안에 어 떤 영 향을 미칠것 인가 하는것 은 아직 두고 보아야 
한다. 

마킨토쉬의 우점 그러면 조작체계로서의 마킨토쉬를 다른 주목되는 봉사기 OS 들과 
구별하게 하는것은 무엇인가? 대부분의 해커들이 마크의 기술을 잘 모르기때문에 마크우 
에서 방화벽을 돌리는것은 보다 안전할것 이 라는 일반적 인 믿음이 존재하고 있다. 그리고 
마크우에서 돌아 가는 응용프로그람들에 대해서는 몇가지 취약점들이 보고되고 있으나 
조작체계자체에 대해서는 약점에 대한 기록자료가 매우 적다. 

또한 구성 이 쉽 다는것 도 있다. 마킨토쉬 는 GUI 에만 기 초하고 있 고 매 우 적 은 망봉 
사를 제공하므로 복잡성은 크게 감소된다. 

마지 막으로 새 로운 OS 표에서 돌아 가는 방화벽 은 성 능에서 (최 첨 단의 UNIX 에 기 초 
한 조작체계로부터)，구성에서 (매개의 특정의 봉사는 마음대로 켜거나 끌수 있다.) 그리 
고 지원도구에서 (대부분의 UNIX 에 기초한 보안지원도구들이 OS X 에서도 돌아 간다.) 
우점을 보여 주고 있다. 

마킨토쉬의 약점 마킨토쉬 의 우점 의 뒤 면들로 되 는 몇 가지 중요한 약점 들이 존재한 
다. 이 체계는 잘 알려 져 있지 않기때문에 많은 취약점들이 그것에 침투하려는 엄중한 
시 도를 하고 있는 해커 에 의하여 발견될수 있는 가능성 이 있다. 

또한 마킨토쉬봉사기 는 제 한된 수의 구성 과 응용프로그람선택 만을 가지 고 있으므로 
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관리 자들은 그것 이 봉사기 에서 구성요소들을 자유롭게 선택하는것과 같은 나머지 문제 들 
을 놓치고 있다고 느낄수 있다. 

그리고 마킨토쉬를 위한 방화벽제품들이 있지만 그 대부분은 개인용방화벽으로 설계 
되고 전체 망을 보호하는 봉사기로는 기능하지 않는다. 이것은 방화벽을 위한 많은 봉사 
도구들이(마킨토쉬에 기초한 분석 및 응답도구들) 없는것으로 하여 마킨토쉬방화벽의 유 
연성을 더 크게 제한한다. 

성능상에서도 문제가 있다. 최근년간에 Apple 의 하드웨어는 매우 인상적 인 성능을 
보여 주었지만 조작체계는 그에 따르지 못하고 있다. 결과로 방화벽과 경로기로 동작하 
는 매우 나쁜 마킨토쉬봉사기는 점 차 압도될수 있다. 

게 다가 OS 표는 몇가지 새로운 약점들을 끌어 들이였다. 그것은 UNIX 를 계승하고 
있으므로 0S 보에서 의 가장 큰 보안위 험 은 기 정 으로 설 치된 데 몬들(봉사들) 에 의하여 일 
어 나게 된다. 그 일부를 우리는 다음에 UNIX 를 취급할 때 구체적으로 보기로 한다. 

UNIX 

UNIX 는 Microsoft 의 Windows NT (그리 고 Windows 2000 과 같이 NT 에 기초한 조작체 
계들)도 포함하여 다른 조작체계들보다 매우 력사가 오래며 첫 방화벽은 UNIX 체계우에 
서 설 계 되 였 다. 이 것 은 그우에 서 돌아 가는 방화벽 제품들이 안정 할것 이 라는것을 의미 한 
다. UNIX 의 대 부분의 판본들은 상업 적 으로 판매되 였지 만 (Sun 의 Solaris, HP 의 HP-OX 
그리고 IBM 의 AIX) 많은 사람들이 그것의 기본구조와 봉사에 대하여 알고 있으므로 그 
것은 열린 체계 로 간주되 고 있다. 

UNIX 에서 보안약점들이 발견되였어도 그것들은 핵심조작체계와 관련된것이 아니고 
그우에서 돌아 가는 응용프로그람이 나 봉사와 관련된것들이였다. 

UNIX 는 또한 다른 조작체계를 릉가하는 우점을 가지고 있다. 이것은 많은 하드웨어 
플래 트홈과 UNIX 를 지 원하는 구성 들과 결합되 여 UNIX 를 집 중적 이 고 큰 자료연산을 위 
한 가장 적합한 조작체계로 되게 하고 있다. 방화벽 이 잘 동작하자면 그 방화벽의 동작 
에서 본질적이 못되는 모든 응용프로그람들과 구성요소들은 불가능하게 되여야 하는데 
이것은 UNIX 에서 특별히 실행 하기 쉽다. 

UNIX 의 우점 UNIX 의 고유한 우점들은 많다. 그것은 구성성 이 매우 좋으며 보안산 
업분야의 많은 사람들에 게 잘 리해 되 여 있 고 현존하는 조작체 계 들중 가장 우수한것 으로 
되 고 있다. 제 기되는 보안문제들을 리해 하고 개선하는데 많은 자원들이 투하되 였다. 

UNIX 는 또한 매 우 안정한 고성 능조작체 계 로 인정 되 고 있 다. 그리 고 여 러 하드웨 어 
플래 트홈 (DEC Alpha 와 IBM RS/6000 과 같은) 들과 이 플래 트홈의 다중처 리판본들에 서 
돌아 갈수 있는 능력으로 하여 그것은 큰 망을 지원하는 방화벽들에 필요한 높은 자료속 
도를 지원할수 있다. 

그것은 또한 Windows NT 에 기초한 체계들을 괴롭히 던 구성변화가 있은후 체계를 
재기동하여 야 하는 조작을 하지 않게 된다. 

UNIX 를 위한 보안 및 보안지원제품은 그 어 떤 다른 플래 트홈들에 서보다 많다 
(Windows NT 는 두번째 이 다. ) . 그러 므로 이 사실 과 30 년의 력사로 하여 UNIX 는 많은 
큰 기 관들에 서 선택하는 우월한 조작체 계 로 되 였 다. 
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UNIX 의 약점 그러면 결함은 무엇 인가? 문제는 경험 없는 UNIX 관리 자들이 《칸밖의 
설치》로 방화벽을 설치 하고 기정 에 의하여 가능으로 되는 많은 취 약한(그러 나 방화벽 이 
없는 체계에서는 잠재적으로 취약한) 프로그람들과 봉사들(데몬들)을 불가능으로 하지 
않을 때에 제기된다. 또한 이 데몬들의 대부분이 뿌리 (매우 강력한 초사용자권한)의 보 
안문맥에서 돌아 가도록 구성되였기때문에 그것들은 공격자에게 그들이 일단 취약한 구 
성을 리용한다면 체계에 완전히 접근할수 있는 가능성을 준다. 

비 활성데몬들은 비 교적 간단하다. 관리 자들욧 기동시 간에 각각의 데몬들을 활성화시 
키 는 스크립 트들을 제 거 또는 이 름바꾸기 하거 나 또는 그 데 몬이 inetd 에 의 하여 호출된 다 
면 inetd . conf 구성 파일에서 그 행을 설명문으로 만들어 버 린다 ( inetd . conf 구성 파일을 참고 
하시오.). 


inetd . conf 구성 파일 은 다음과 같다. 


# These are standard services . 

ftp stream tcp nowait root / usr / sbin/tcpd in . ftpd—l _a 

telnet stream tcp nowait root / usr / sbin/tcpd in . ttlnetd 

gopher stream tcp nowait root / usr / sbin/tcpd gn 

#smtp stream tcp nowait root / usr / bin/smtpd smtpd 

#nntp stream tcp nowait root / usr / sbin/tcpd in.nntpd 

# 

# shell , login , exec and talk are BSD protocols . 

# 


shell 

login 

#exec 

talk 

ntalk 

#dtlk 

# 


stream tcp nowait root / usr / sbin/tcpd 


stream tcp nowait 
stream tcp nowait 
dgram udp wait 

dgram udp wait 

stream tcp waut 


root / usr / sbin/tcpd 

root / usr / sbin/tcpd 

root / usr / sbin/tcpd 

root / usr / sbin/tcpd 

nobody / usr / sbin/tcpd 


in . rshd 
in . rlogind 
in . rexecd 
in . talkd 
in . ntalkd 
in . dtalkd 


#pop and imap mail services et al 
# 

pop -2 stream tcp nowait root 

pop - 3 stream tcp nowait root 

imap stream tcp nowait root 

# 


/ usr / sbin/tcpd in . ipop 2 d 
/ usr / sbin/tcpd in . ipop 3 d 
/ usr / sbin/tcpd imapd 


#Tftp service is provided primarily for booting . Most sites 

#run this only on machines acting as «boot servers .» Do not uncomment 

#this unless you * need * it . 

# 

#tftp dgram udp wait root / urs / sbin/tcpd in . tftpd 


152 








dgram udp wait root / usr / sbin/tcpd bootpd 


# Finger , systat and netstat give out user information which may be 

# valuable to potential《system crackers .» Many sites choose to disable 

# some or all of these services to improve security 

# 

t cfinger is for GNU finger , which is currently not in use in RHS Linux 
# 

finger stream tcp nowait root / usr / sbin/tcpd in . fingerd 

#cfinger stream tcp nowait root / usr / sbin/tcpd in . cfingerd 

#systat stream tcp nowait guest / usr / sbin/tcpd / bin / ps - auwwx 

#netstat stream tcp nowait guest / usr / sbin/tcpd / bin / netstat-finet 

# 

# Time service is used for clock synchronization 


stream tcp 
dgram udp 


nowait nobody / usr / sbin/tcpd in . timed 
wait nobody / usr / sbin/tcpd in . timed 


/ usr / sbin / in . identd 


t End of inetd . conf 


한 주간을 보면 UNIX 에서 어떤 다른 조작체계들보다 더 많은 약점들이 악용된다. 
하나의 실례로 CERT (카네기멜론대학의 를퓨터긴급응답기구)는 2000년 9월 15일에 발표하 
기를 해커들이 두가지의 취약성을 리용하여 넓은 범위의 공격을 진행하였다는것이다. 그 
첫번째 취약성은 NFS (망파일체계)를 지원하는데 리용되는 데몬인 rpc.statd 와 관련한것이다. 
두번째 는 워 싱 톤종합대 학에 서 제 공한 ftp 봉사기 프로그람묶음인 wu-ftpd 와 관련된것 이 다. 이 
봉사들은 대부분의 UNIX (그리고 Linux ) 체계들에서 기정으로 설치되고 활성화되므로 기정 
설치로 방화벽을 설치하는 관리자는 자기의 전체 망을 취약하게 만들게 된다. 

UNIX 는 배우고 관리하기가 매우 어려운것으로 간주되고 있으며 UNIX 체계의 가격은 
다른 조작체계들보다 전통적으로 비쌌다. 또한 UNIX 와 관련한 많은 약점들이 알려 져 
있으므로 관리자는 체계를 안전하게 하는데 많은 시간을 들여야 한다. 그렇게 하지 않으 
면 UNIX 의 취약점들에 대한 정보를 알고 있는 공격자가 이 많은《구멍》들을 리용할수 
있다. 

OpenBSD ： UNIX 규칙의 한가지 례외 미리 설치된 취약한 데몬들의 위험을 최소화하 
는 한가지 UNIX 변종이 있는데 그것 은 OpenBSD 이 다. OpenBSD 는 접 근가능성없 이 설 치 
한다. 관리 자가 수동적 으로 어 느 봉사와 구성 부분들이 돌아 갈것 인가를 선택하여 야 한다. 
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OpenBSD 는 자원봉사자들에 의 하여 무료로 만들어 지 고 유지 되 고 있는데 때 로는 
Linux 와 혼돈된다. 사실상 그것은 특정의 목적을 가지고 매우 엄격히 조종되는 UNIX 의 
한가지 공동연구프로젝 트이 다. 아직 약점 이 있을수 있지 만 이 약점 들을 수정 하기 위한 
응답시 간은 산업 계 에서 가장 좋은것 으로 간주되 고 있다. 또한 쏘프트웨어 오유들을 찾아 
내 고 수정하는데서 혁 신적 인 사고방식 으로 하여 OpenBSD 는 많은 방화벽관리 자들에 게 
있어서 거절하기 어려운 선택으로 되고 있다. 


Linux 

최 근의 기 록에 의 하면 조작체 계 전쟁 에 서 가장 큰 도전 인 Linux 는 어 떠 한가? Linux 는 
UNIX 와 많은 우점들과 약점들을 함께 가지고 있다. 

UnUX 의 우점 UNIX 와 마찬가지 로 Linux 는 구성성 이 좋고 안정 하고 잘 리 해되며 많 
은 준비된 보안관련제품들을 가지고 있다. 그러나 Linux 의 가장 큰 매력은 그것의 개발 
성이다. 사실상 Linux 는 OpenBSD 보다 더 열려 있으며 보안산업분야의 많은 사람들은 이 
것 으로 하여 보다 많은 눈들이 오유와 취 약성 들을 찾아 내 도록 하기 위하여 원천코드를 
공개할수 있게 하는것 이 다. 그리 고 Linux 공동체 의 특성 은 보안전문가들에 게 서 관심 과 문 
제점 들을 가지 고 있는 준비 되 고 자발적 인 지 원집 단이 라는것 을 의 미한다. 

UnUX 의 약점 Linux 의 약점은 배우기 어렵고 많은 알려 진 취약점들을 가지고 있다 
는것 이 다. 


Microsoft Windows NT 

Linux 와 대조적 으로 Microsoft 는 친절하다는 우점을 가지고 있 다. 그러 나 쎄르반레스가 
《돈 키 호테》에서 쓴바와 같이 친절은 경 멸을 낳으며 그것은 Microsoft Windows NT 와 
Windows 2000 에 대 해 서 도 마찬가지 이 다. 

NT 의 우점 Windows NT 는 Windows Desktop 환경 의 확장이 므로 NT 는 대 표적 인 말 
단사용자에 게서 보다 친근한 환경 이 다. 이것은 그 사용자가 방화벽쏘프트웨어 를 돌리 기 
위하여 새 로운 환경 을 완전히 배 우지 않아도 된다는것 을 의 미한다. 보다 중요한것 은 회 

사가 자기 의 방화벽 을 관리 하기 위하여 추가적 인 자원을 소비하지 않아도 된다는것 이 다. 

사실상 NT 에 기 초한 체 계 들은 전통적 으로 UNIX 관련체 계들보다 비싸지 않았으며 하 
드웨어와 쏘 프트웨 어 에 대 한 투자가 NT 에 기초한 체계 에서 보통 더 적 다는 사실을 고려 
하여 야 한다. 

친절성은 보안을 강화한다고 말할수 있다. 사람들이 NT 와 잘 알고 있기때문에 그것 
들이 플래트홈을 틀리게 구성하여 보안상 문제를 일으키는 일은 보다 적어 질것이다. 
UNIX 가 보다 안전한 환경으로 구성될수 있다는것은 진실일수도 있고 아닐수도 있으나 
확실히 사용자가 그것을 어 떻게 적 당히 관리할것 인가를 리해하지 못한다면 안전한 환경 
은 결코 이루어 질수 없다. 

마지막으로 중요한것은 일관성 이 다. 많은 기관들에서는 파일，인쇄 및 응용프로그람 
봉사를 위하여 돌리 고 있 으므로 모든 입 구되 는 봉사들을 위하여 하나의 플래 트홈으로 규 

격화하는것이 중요하다. 이렇게 하면 관리가 더 쉬워 지고 보다 조화롭게 된다. 또한 이 

것 은 호환성문제를 약화시키 거 나 없 애는데도 도움 이 된 다. 
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NT 의 약점 NT 의 가장 큰 약점은 인식상의 문제 인데 즉 Microsoft 가 보안약점을 인정 
하고 수정하는데서 매우 느리 고 달갑게 여 기지 않는다는것 이 다. 어떤 제3자가 하나의 약 
점 을 발견하고 그것을 Microsoft 에 남몰래 알려 준적 이 있었다. 그런데 Microsoft 는 한달이 
지 나도 그것을 수정 하기 위한 패 치프로그람을 발표하지 않고 전혀 움직 이지 도 않았으므로 
그 사람은 그것을 일반에 공개하고 말았다. 중요한 취 약점들이 발견되여도 그들은 대개 
봉사를 NT 에 미리 설치되여 있지 않았던것들에로 제한할뿐이다. 

NT 의 독점적인 성질로 하여 봉사의 내부적동작에 대하여서는 많은것들이 알려 지지 
않고 있으며 UNIX 데몬들과 같은 정도로 구성가능하지 못하다. 이것은 또한 자기들의 방 
화벽 이 돌아 갈 가장 안전한 플래트홈을 찾고 있는 보안전문가들에게도 몇가지 불확실성 
을 주고 있다. 

다른 결 함들은 구성변화후에 NT 봉사기 를 재 기 동하여 야 하는것 과 NT 봉사기 와 관련 
한 구입 및 허가권료금 등의 문제 이 다. 

Windows 2000 

Windows 2000은 Windows NT 와 어 떻 게 비 교되 는가? Windows 2000은 Windows NT 와 
많은 약점들을 공유하는데 독점적인 성질，약점을 인정하는데서의 Microsoft 의 좋지 않은 
태 도 그리 고 Windows 제 품을 리용하는것 과 관련한 비 용 등의 문제 들이 다. NT 와 류사하 
게 Windows 2000도 사용자친절성 과 망에 서 의 일관성 이 라는 우점 을 가진다. 

Windows 2000은 NT 와 구별되 는 몇 가지 우점 을 가지 고 있 다. 첫째 로는 봉사기 를 재 
기 동할 필요없 이 구성변화를 할수 있는 능력 이 다. 둘째 로는 봉사기 의 안정 성 을 높인것 인 
데 이것으로 하여 가동시간이 길어 지게 된다(또한 믿음성도 증가한다.). 

많은 전문가들은 W 2 K 가 NT 에 비 하여 얼마나 안전한가를 결정하는것 은 아직 이 르며 
잠재 적 인 오유들과 취 약성 들을 폭로하는데는 아직 더 많은 시 간이 필요하다고 믿 고 있 다. 
W 2 K 의 일부 취약성들은 이미 발견되였고 수정되였다. 그것은 Telnet 봉사였는데 여기서 
해커는 관리적 인 Telnet 대화의 완전한 조종권을 가지고 전체 봉사기 (잠재적 으로 전체 망) 
를 손상시키고 위험에 빠지게 할수 있었다. 

응용기초 방화벽 

응용에 기초한 방화벽은 전용하드웨 어 또는 쏘프트웨 어 에서 돌아 가며 보통 물리적 
으로는 전원과 망련결을 가지는 통으로 되여 있다. 여기에는 다음의 제품들이 포함된다. 

• Cisco Pix 

• Check Point VPN -1 

• eSoft Interceptor 

• Progressive Systems Phoenix Adaptive Firewall 

• SonicWALL PRO 

• Watch Guard LiveSecurity system 4.1 
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이러한 방화벽들에서는 제작자가 한 장치안에 하드웨어，쏘프트웨어 그리고 조작체 
계까지 다 넣어서 제공한다. 이러한 장치들은 전적으로 봉사하는 IT 전문가를 가지고 있 
지 않으며 기 초적 인 방화벽기 능만을 필요로 하는 작은 기 업 들에 서 많이 리용한다. 큰 기 
업들에서는 보다 비싸고 고급한것들을 리용하는데 이것들은 인터네트와 전자상업싸이트 
와 갈은 큰 망들에 서 발생하는 대 량의 자료흐름을 처 리하게 된 다. 

응용에 기초한 방화벽의 우점 

이 종류의 방화벽의 가장 큰 리점은 짧은 구성시 간이 다. 많은 방화벽들은 망을 보호 
하도록 미 리 구성되 여 있 다. 인 터네 트를 그 통의 한 포구에 련결 하고 내 부망을 다른 포 
구에 련결하면 장치는 즉시 망자료흐름을 려과하기 시작한다. 작은 기업들에서는 이 간 
단성으로부터 리득을 보는데 특히 또는 경험 있는 IT 전문가를 가지고 있지 않을 때 유리 
하다. 만일 구성 이 필요하다면 간단한 Web 열 람기 또는 전용의 관리 도구프로그람에 의하 
여 관리가 진행된다. 

성능도 이러한 형태의 방화벽의 우점으로 된다. 이 방화벽들은 프로그람가능한 하드 
웨어 들을 리 용하므로 조작체 계 와 하드웨 어 를 따로 가지 는 방화벽 들보다 높은 속도로 동 
작할수 있다. 

이러한 전용설계방법은 방화벽의 가격을 낮출수 있는 가능성도 가지고 있다. 그것은 
조작체계에 대한 구입 및 방화벽응용프로그람에 대한 추가적 인 허가권에 대한 요구가 없 
기때 문이 다. 모든것은 제 작자에 의하여 하나로 집적 화된 통안에 들어 있다. 이 일체 식방 
법 (모든것 이 제 작자에 의하여 조종되고 설계되고 지원된다.)은 사실상 거기 에 닿는 손들 
의 수를 최소화함으로써 보안을 강화할수 있다. 

응용에 기초한 방화벽의 약점 

한편 이러한 일체식방법은 제품의 유연성 또는 기초하드웨어의 갱신능력 (봉사기에 
기 초한 방화벽 에 서 요구되 는대 로 더 많은 RAM 을 설 치하는것 과 같은) 에 서 제 한성 이 있 
다. 또한 이 방법은 하나의 기관이 자기의 보안체계로 하여 하나의 제작자에게만 제한되 
게 된다. 

응용에 기 초한 방화벽 은 또한 간단한 프로그람적실현에 비 하여 비 싼것 으로 알려 져 
있 으며 기 관이 요구하는 복잡성 의 준위 에 따라 전통적 인 쏘프트웨 어방화벽 을 리용하는것 
이 더 좋을수도 있다. 


방화벽의 기타 문제 

어떤 형식의 방화벽 을 선택 하든지 간에 특정의 방화벽제품을 사들이 기전에 면밀히 분 
석해 보아야 할 몇 가지 잠재 적 인 특징 들이 있 다. 이 특징 들은 방화벽 의 모든 형 태 들에 서 
공통적이므로 여기서 그것들을 두 부분으로 나누어 간단히 보기 로 한다. 

• 방화벽기능 

• 주소변환 

• 방화벽가입등록과 분석 
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• 관리 


• 침입검출과응답 

• 통합과 배 비 

• 인증/접근조종 / LOAP 

• 제3자의 도구들 

이 절에서는 이 매 개 특징 들과 방화벽제품을 선택할 때 고려하여 야 할 문제 점들을 
보기로 한다. 

주소변환 

주소변환은 기 초적 인 방화벽기 능으로 간주된다. 이 기 능을 포함하지 않는 방화벽제 
품은 믿지 말아야 한다. IP 주소가 한 값으로부터 다른것으로 변환될 때 그것을 주소변환 
이 라고 한다. 

이 특징은 대부분의 방화벽제품들에서 실현되였으며 대표적으로 원격체계로 하여금 
내부체계의 진짜 IP 주소를 알지 못하게 하려 고 할 때 리용된다. 



그림 5-12. 주소변환 


그림 5-12 는 이 구성의 대 표적 인 배비를 보여 준다. 
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내부워크스테이션은 외부 Web 싸이트에 접근하기를 원한다. 그것은 하나의 요청을 만 
들어 그 정 보를 자기의 기 정 관문에 보내는데 이 경 우에 이것은 방화벽 이다. 탁상체 계 는 
하나의 작은 문제를 가지고 있는데 그것은 그것이 위치하고 있는 부분망이 사설주소배당 
을 리 용하는것 이 다. 

사설주소배당이 란 하나의 기관이 자기의 내부호스트들을 주소배당할 때 리용할수 있 
는 IP 부분망대역의 리용이다. 이것은 이 대역이 인터네트에서 경로조종되도록 허용되지 
않고 있기때문에 리용가능하다. 이것은 충돌한다는 걱정 이 없이 이 주소들을 쓸수 있다 
는것 을 의 미하지 만 또한 원격 체 계 에 보낸 어 떤 요청 이 응답되 려 면 어 느 경 로를 취 해 야 
하는가 하는것 을 모른다는것 을 의 미한다. 

이 대 역들은 다음과 같다. 

• 10.0.0.0 -10.255.255.255 

• 172.16.0.0 -172.32.255.255 

• 192.168.0.0 -192.168.255.255 


포구번호에 모든것이 다 있다 

방화벽은 어떻게 이 워크스테이션으로 돌아 오는 응답들과 다른 체계 또는 방화벽 
자체 를 목적 지 로 하고 오는 자료흐름을 구별 하는가? 만일 방화벽 이 모든 탁상 ᅵ계 들의 
주소를 변환하여 자기의 대면부의 주소와 맞추어 본다면 그것은 각이한 대화 ' I ■사이의 
차이를 어떻게 말할것인가? 

그림 5-12 의 두개의 파케트머 리부를 자세히 보면 변화된 값들을 알수 있될 것 이 다. 
원천 IP 주소와 함께 방화벽은 원천포구번호로 변화시켰다. 이 포구번호는 어스 융답이 
어 느 체 계 에 로 가는가를 식 별 하는데 리 용된 다. 

원천포구는 전송체 계 에 의하여 동적 으로 배 당되는 값이 라는것 을 기 억 하시 b 이 것 
용 1023우의 어 떤 값은 허 용가능한것 으로 간주된 다는것 을 의 미한다. 방화벽 義 이 값을 
계산목적으로 쉽게 변경시킬수 있다. 원천포구번호를 체계들사이에서 여러 통 1대화들 
을 구별하는데 리용하는것과 갈은 방법으로 방화벽은 어느 응답이 우리의 내우 체계들 
에 돌아 와야 하는가 하는것 을 기 억 해 두기 위하여 이 원천포구번호를 리 용할도 있 다. 

우리의 방화벽은 그 방법으로 IP 머리부정보를 변경시켜 그것의 최종목적지에 로 그 파 
케트를 전송한다. 돌아 올 때 우리의 방화벽은 그 자료를 내부체계에 전송하기 시하여 IP 
머 리부를 다시 변경시켜 야 할것 이 다. 응답파케트에서 변화되여 야 하는것은 목적 사 IP 주소 
와 봉사포구이 다. 그것은 원격봉사기가 방화벽에 의하여 규정된 IP 주소와 원천 i 구에 응 
답할것 이 기때 문이 다. 방화벽은 정보를 통과시 키 기 전에 이 값들을 탁상워 크스레 1션에서 
리 용된것 과 교체 하여 야 한다. 


그러 므로 우리 의 워 크스테 이 션은 원격봉사기 에 도달할수 있 으나 원격봉사기 는 응답 
을 할수 없게 된다. 이것으로 하여 주소변환이 필요하게 되였다. 우리는 워크스테 이션의 







IP 주소를 어 떤 다른 합법 적 인 IP 주소로 넘길수 있 다. 그림 5-12 의 경 우에 우리 는 탁상콤 
퓨 터 의 IP 주소 192.168.1.50 을 방화벽 의 외 부대 면부에 서 리용되 는 합법 적 인 주소 
199.53.72. 2로 변환하였다. 

주소변환을 배 비 하는데 세 가지 방법 이 있 다. 

• 숨겨 진 망주소변환(숨겨 진 NAT ) 

• 정적망주소변환(정적 NAT ) 

• 포구주소변환 ( PAT ) 

매개 방법의 우점과 제 한성을 고찰하기로 한다. 

숨겨 0 NAT 

숨겨 진 NAT 는 정 확히 그림 5-12 에서 서술한것처 럼 기능한다. 모든 내부 IP 호스트들 
은 하나의 IP 주소뒤에 숨겨 진다. 이것은 방화벽 그자체의 IP 주소일수 있고 어떤 다른 
합법 적 인 번 호일 수도 있다. 숨겨 진 NAT 는 리 론적 으로 수천 개 의 병 행 대 화를 지 원 할수 
있으므로 보충적인 지원을 요구한다면 여러개의 숨겨 진 주소들이 리용될수 있다. 

숨겨 진 NAT 의 가장 큰 제 한성은 그것 이 내부에로의 대화를 만들지 못하게 한다는 
것이다. 모든 체계는 하나의 주소뒤에 숨어 있으므로 방화벽은 원격대화요청이 어느 내 
부체계를 목적지 로 할것 인가를 결정할수 없다. 내부호스트에 로의 넘 기기 가 없으므로 모 
든 내부로의 대화요청은 차단된다. 

이 제한성은 그것 이 보안대책을 강화할수 있다고 볼 때 사실상 하나의 중요한 특징 
이 라고 간주할수 있다. 만일 보안방책 에 서 내 부사용자는 자기 의 내 부탁상콤퓨터 로부터 
자기의 봉사기 ( Web , FTP 등)들을 돌리게 허 용되 여 있지 않다면 모든 탁상콤퓨터들에 
대 하여 숨겨 진 NAT 를 리용하는것 은 이 봉사들이 방화벽 의 밖으로부터 직 접 접 근될 수 
없게 담보하는 빠른 방법으로 된다. 


정 적 NAT 

정적 NAT 는 숨겨 진 NAT 와 류사하게 기능하는데 다른것은 하나의 사설 IP 주소만이 
매개 공적인 IP 주소에 넘기기된다는것이다. 이것은 사설 IP 주소들을 리용하는 하나의 내 
부체계를 가지고 있지만 이 체계가 인터네트로부터 접근가능하게 하려고 할 때 유용하다. 
하나의 내부호스트만이 매개 합법적인 IP 주소와 련관되므로 방화벽은 자료흐름을 어디로 
전송할것 인가를 쉽 게 결정할수 있 다. 

실례로 하나의 내부 Exchange 봉사기를 가지고 있고 SMTP 기능을 가능으로 함으로써 
인 터네 트에 서 우편을 교환할수 있게 하려 고 하고 있 다고 가정 하자. Exchange 봉사기 는 IP 
주소 172.25.23. 13을 가지고 있는데 이것은 사설주소공간으로 볼수 있다. 그러므로 호스 
트는 인 터네 트에 위 치 한 호스트들과 통신할수 없 다. 

다음과 같은 두가지 선택을 가진다. 

• Exchange 봉사기가 위치한 전체 부분망에 대하여 그 주소들을 사설주소로부터 
합법적 인 주소로 변화시킬수 있다. 

• 방화벽 에 서 정 적 NAT 를 수행할수 있 다. 
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명백히 두번째 선택이 더 실행하기 쉽다. 그것은 내부체계들로 하여금 자기에게 배 
당된 사설 주소를 리용하여 Exchange 봉사기 와 계 속 통신 할수 있 게 하며 모든 인 터네 트통 
신들을 하나의 가상적인 합법적 IP 주소로 변환한다. 

정적 NAT 는 또한 숨겨 진 NAT 에서는 차단하는 봉사들에 대해서도 유용하다. 실례 
로 DNS 봉사기들사이의 어떤 통신은 원천 및 목적지포구가 둘다 포구 53 에 설정될것을 요 
구한다. 만일 숨겨 진 NAT 를 리용한다면 방화벽 은 원천포구를 어 떤 우연적 인 웃포구번 
호로 바꿈으로써 통신대화를 차단하게 될것 이 다. 정 적 NAT 를 리용하면 포구번호는 변 
화되 지 않아도 되 고 통신대화가 정 상으로 수행 될수 있 다. 


일러두기 

대부분의 NAT 장치들은 정적 및 숨겨 진 NAT 를 동시에 리용할수 있게 한다. 
이것은 정적 NAT 가 필요한 체계에서는 그것을 쓰고 나머지에서는 숨겨 진 NAT 
를쓸수있게 한다. 


포구주소변환 ( PAT ) 

포구주소변환은 대부분의 대 리자방화벽제품들에서 리용된다. PAT 가 리용될 때 모든 
밖으로의 통신은 숨겨 진 NAT 와 류사한 방법 으로 방화벽 에 의하여 리용되 는 외 부 IP 주소 
로 변환된다. 숨겨 진 NAT 와 달리 방화벽의 외부주소가 리용되 여 야 한다. 이 것은 어떤 
다른 합법적인 값으로 설정될수 없다. 

내부에로의 자료흐름을 취급하는 방법은 제품에 따라 다르다. 어떤 실현에서 포구들 
은 특정의 체계에로 넘기기한다. 실례로 방화벽의 외부대면부에로 향하는 모든 SMTP 통 
신은(이것은 목적지포구번호 25 를 가진다.) 자동적으로 특정의 내부체계에로 전송한다. 
작은 환경에서 이 제한은 거의 문제로 되지 않는다. 많은 체계들이 갈은 형태의 봉사기 
(다중우편 또는 FTP 봉사기와 같은)를 돌리고 있는 큰 환경에서 이것은 큰 문제로 된다. 

이 문제 를 극복하기 위하여 어 떤 봉사기들은 여 러개의 내부봉사들을 지 원하기 위하 
여 자료내용을 분석 할수 있다. 실례로 어떤 대 리 자는 user @ eng.bofh.org 로 주소지정된 
모든 들어 오는 SMTP 우편들을 하나의 내부우편체계에로 전송하고 user @ hr.bofh.org 로 
주소지정된 우편들은 다른것에로 전송한다. 

만일 같은 봉사를 돌리 는 여 러개의 내부봉사기 를 가지 고 있다면 방화벽 이 그것 들을 
구별할수 있는가를 확인해 보아야 한다. 이러한 제한에 의하여 곤난해 지고 봉사기들을 
방화벽의 밖에 배 치하지 않으면 안되 게 되 였던 실례 들을 많이 들수 있다. 

방화벽가입등록과 분석 

방화벽 의 기 본기 능은 망경 계 선에서의 자료흐름을 조종하는것 이 고 다음으로는 자기 가 
만나는 모든 자료흐름을 등록하고 분석하는것 이 다. 등록은 누가 망경 계 를 통과하였 고 또 
누가 통과하려 고 시 도하였 으나 실패하였는가를 문서 로 만드는것 으로서 매 우 중요하다. 
분석은 어느 사건들이 실례로 방어선을 통과하려는 시도인가 그리고 어느것이 앞으로의 
공격을 위한 준비로서 《담장》을 열어 보는 연구인가 하는것이 등록파일만 보는것으로 
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그림 5-13. 방화벽 - 1 의 등록파일보기 



는 쉽게 할수 없으므로 중요하다. 

무엇이 좋은 방화벽등록을 정의하는가? 명백히 이것은 사람에 따라 다르다. 그러나 
고려하여 야 할 많은 특징들이 있다. 

• 등록파일은 모든 항목들을 명백하고 읽기 쉬운 형식으로 계출하여야 한다. 

• 등록자료를 분석도구에로 보내는것 이 보다 효과적 일수도 있지만 하나의 표의 
모든 항목들을 보고 자료흐름패턴을 더 잘 식별할수 있어야 한다. 

• 등록파일은 어느 자료흐름이 차단되였고 어느 자료흐름이 통과되 였는가를 명 
백히 식별하여야 한다. 

• 분석도구프로그람으로 할수도 있겠지만 려과와 정렬을 리용하여 등록파일을 
처리하여 특정형식의 자료흐름에 집중할수 있어야 한다. 

• 등록파일은 정해 진 크기제한에 따라 항목들을 겹쳐 쓰거나 빠뜨리지 말아야 
한다. 

• 등록파일을 원격위 치 로부터 안전하게 볼수 있어 야 한다. 

• 등록프로그람은 어떤 방법으로 이 등록파일을 ASCII 와 같은 적어도 한가지 공 
통적인 형식으로 출구할수 있어야 한다. 이렇게 하면 그 자료를 다시 기록도 
구，표처 리프로그람 또는 자료기 지프로그람으로 처 리할수 있 다. 

이 특징들이 모두가 다 중요한것은 아니다. 공격자가 첫 시도에서 접근을 얻는것은 
매우 드물다. 만일 규칙적으로 등록파일을 세밀히 분석한다면 공격이 발생하기전에 그것 
을 좌절시킬수도 있다. 좋은 등록도구가 매우 중요하다. 


-Icp tcp 的切 leplcplep 的 ICBteplcptca 
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실례로 그림 5-13 에서 보여 준 등록파일보기를 고찰하자. 이것은 방화벽-1의 등록파 
일 보기인데 그것 은 우리 가 목록화한 규준들을 집 행하는 매 우 좋은 일 을 하고 있 다. 이 
등록파일은 읽기 쉽고 따라 가기 쉬우며 안전한 대화를 통하여 다른 워크스테이션으로부 
터 원격으로 볼수도 있다. 

Select menu 선택 에 의 하여 여 러 가지 려과 및 정 렬선택들을 얻 을수 있다. 

그림 5-13 의 매 파케트항목에 기록된 봉사들을 따져 보자. 이상한것은 없는가? 우리 
의 원천체계 Heme 가 매개 TCP 봉사포구들에서 Skylar 에게 련결 하려 고 시도하고 있는것으 
로 나타난다. 이 화면은 봉사포구 20( FTP - 자료)에서 시작하여 한번에 한 포구씩 포구 
35까지 계속하고 있 다. 이것은 Herne 이 어떤 봉사가 제공되고 있는가를 알기 위 하여 
Skylar 에 대 하여 하나의 포구스캐 너 를 돌리 고 있 다는것 을 가리 킨다. 

이 에 대조되 는것 으로서 Secure Computing 의 BorderWare 방화벽 에서 리 용된것과 같은 
등록파일보기가 있다. 이 방화벽은 6개이상의 등록파일을 가지고 있다. 이것은 특정한 
봉사를 기록하는것은 좀 쉽지만 특정의 호스트를 기록하는것은 보다 어렵다. 이 정보를 
결 합하기 위 하여 서 는 계 3자의 프로그람을 리용하여 야 하며 무엇 이 진행 되 고 있는가를 명 
백히 보아야 한다. 또한 그림 5-13 의 등록파일들은 간단한 차림 표선택 에 의하여 출구되 
거 나 보관될수 있지만 BorderWare 는 FTP 관리를 가능으로 하고 수동으로 그 파일을 국부 
콤퓨터 에 전송할것을 요구한다. 


일러두기 

방화벽제 품을 선택할 때 등록파일대 면부가 유연하여 야 한다는것 을 명 심하여 야 
한다. 방화벽의 ACL 은 보통은 설정되여 있고 매우 적은 변화를 요구하므로 등 
록파일을 보고 자료흐름을 분석하는데 매 우 적은 시 간을 소비할것 을 계 획하여 
야 한다. 


가상사설 망 

가상사설 망 ( VPN ) 은 고성 능의 방화벽 을 구성할수 있게 하는 특징 으로 간주되 고 있 다. 
VPN 은 인증되 고 암호화된 접 근이 공공의 인 터네 트를 통하여 인트라네 트에 로 실현될수 
있게 한다. 이것 은 비싼 점대 점통신대신에 LAN 또는 이동사용자가 값 눅은 ISP 를 리용 
하여 자기 의 내 부기 관의 자원과 통신할수 있 다는것 을 의 미한다. 

그러 나 그저 기초적 인 VPN 봉사만을 제공하는것으로는 충분하지 않다. 자기의 방화 
벽 이 VPN 을 위하여 어 떤 구성，관리，암호화선택 을 제 공할것 인 가를 결 정하여 야 한다. 
어떤 경우에는 방화벽에 통합된 전용 VPN 이 가장 좋은 결과를 제공할수 있다. 

침입검출과 응답 

공격 이 진행되는것을 관리 자에게 알리기 위한 방화벽의 능력도 구입 및 배비를 결정 
하는데 서 고려 되 여 야 한다. 2000년 2월 에 발생한 높은 급의 DoS (봉사거 부) 공격 의 경 우 
에 방화벽체계가 IT 담당자에게 비정상적인 망동작에 대하여 인차 알림으로써 여러개의 
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싸이트들은 한시간내에 정상기능으로 돌아 오게 되였다. 

미래의 방화벽체계는 공격이 있는 경우에 전체 망이 응답하고 자신을 재구성하도록 
하는 일정한 협동동작을 약속하고 있다. 전문가들은 이러한 수준의 혁신적인 감시와 응 
답에 관한 기술이 가능하다고 보고 있으나 도전은 여전히 제기되고 있다. 실제로 효과적 
이기 위하여서는 서로 다른(지어 경쟁하는) 기관이나 기업이라고 하여도 모든 영향 받는 
집 단들이 협동동작하고 통신하여 야 한다. 

공격자는 정체를 유지하기가 더 어려울것이며 공격의 효과는 매우 빨리 중화될것 
이 다. 

침입과 비루스 (2000 년 3월에 있은 《I Love You 》 와 같은) 등에 대하여 감시하고 
기 록하는 공식 적 인 또는 비 공식 적 인 집 단들이 이 미 존재한다. 그러 나 기 록하는 방식 들은 
흔히 는 수동적 이 며 《 눈에 의한》방법 이 요구되 고 있 다. 리상적 으로 기 록은 자동적 이고 
규격 화되 여 야 하며 모든 자동적 인 또는 혁 신적 인 방어작용들을 가능하게 하는 충분한 정 
보를 가지는 지능적인 체계가 있어야 한다. 

틍합과 접근조종 

방화벽은 다른 망체계 및 봉사들과 더욱더 통합되고 있다. 이렇게 하면 방화벽이 현존 
망의 기 반구조를 중복시키지 않으므로 관리를 간단하게 하고 복잡성을 줄이며 TCO(Total 
Cost of Ownership ： 소유총비용)을 증가시 키게 된다. 

통합의 실례 로는 여 분의 사용자구좌정 보를 없애 고 선택 가능한 인증기 구를 도입하는 
등록부 및 인증을 들수 있다. 이러한 봉사를 제공하는 두가지 공업규격이 있는데 
LDAP (가벼운 등록부접근규약)과 RADIUS (원격 인증전화접속사용자봉사)이다. 

가벼운 등록부접근규약 (LDAP) 

LDAP 는 두 등록부봉사사이 에 또는 하나의 등록부봉사와 의 뢰기사이에 통로를 만든 
다. 방화벽에 있어서 이것은 사용자 및 집단의 구좌를 여분으로 만들 대신에 체계가 제3 
자의 등록부봉사에 보관되 여 있는 구좌들과 등록정 보들을 리용하여 접 근을 결정할수 있 
다는것을 의 미한다. 이것은 중복되 는 사용자 및 집 단의 구좌를 만들고 관리하는 관리부 
담을 감소시키는 직접적인 리득을 가져다 주며 또한 보안체계의 가장 큰 적인 복잡성을 
감소시킨다. 

등록부봉사의 실 례 로 는 Microsoft 의 AD (Active Directory ) , 노벨 의 NDS (NetWare 
Directory Service ), iPlanet 의 등록부봉사기 등을 들수 있 다. 

원격 인증전화접속사용자 봉사 (RADIUS) 

RADIUS 는 인증을 위하여 하나의 확장가능하고 독립 적 인 플래 트홈을 제 공한다. 이 
것 은 변경 가능한 인증기 구(스마트카드 또는 생 물측정장치 와 같은)를 제 공할뿐아니 라 
RADIUS 봉사기들은 방화벽 으로부터 (또는 LDAP 에 따르는 등록부봉사들) 실제적 인 인증 
작업부담을 덜어 준다. 

인증만을 위한 기 반구조를 제 공함으로써 RADIUS 는 인증과정 (그리 고 결과적 으로는 
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접근과정)을 간단화하고 강화한다. 


제3자의 도구 

많은 현대 망들은 많은 서로 다른 제작자들의 여 러가지 기술의 《프랑켄슈타인》이 
다. 이것은 기술의 최량적인 집합일수 있으나 관리하기에는 하나의 악몽과 갈을수 있다 
(역자: 프랑켄슈타인: Frankenstein ： 환상소설의 주인공인 과학자의 이름. 자기가 만든것 
에 의하여 파멸 되 는 사람) . 

다행 히 도 모든 망장치 들과 응용프로그람들을 중앙집 권적 으로 감시 하고 관리하도록 
설계된 새로운 기술들이 나타나고 있다. 한가지 훌륭한것은 HP 의 OpenView 인데 이것은 
다음의 분야들에서의 관리를 제공한다. 

• 응용프로그람들 

• 리 용성 ( Availability ) 

• 망 

• 성능 

• 봉사 

• 체 계 

• 저장 및 자료 

방화벽 이 계3자의 관리도구를 가지고 일할수 있는 능력은 어느 제품을 선택 하는가 
하는데 서 결정적 인 인자로 될수 있 다. 

그러나 관리는 제3자의 제품을 찾을수 있는 유일한 분야는 아니다. 

Check Point 의 VPN -1 은 다른 제 작자들이 자기 들의 특징 을 URL 려 과，반비 루스주사 
그리고 전자우편스팸보호까지 포함하도록 확장할수 있게 한다. 이러한 추가적인 리점들 
로 하여 이러한 제품들의 가격은 보통 비싸다. 

자신이 결심하라 

매 개 선택 에 대 하여 몇 가지 강한 론점 들이 존재한다. 자기 의 환경 에 맞는 선택 을 하 
기 위 하여서는 이 모든 론점들을 조사해 보고 어느것 이 특정의 환경 에 더 잘 적용될수 
있겠는가를 결정하여 야 한다. 

표 5-6 은 대 표적 인 방화벽 제 품들을 가격，특징 그리 고 를래 트홈별 로 분석한다. 

방화벽의 배비 

이제 하나의 방화벽제품을 선택 하였다고 하자. 이제 큰 문제는 그것을 망환경 에 어 
떻 게 설 치할것 인가 하는것 이 다. 이 문제 에 는 여 러 가지 방법 이 있지 만 가장 일 반적 인 배 
비는 그림 5-14 에 보여 준것과 같다. 
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다른 형식의 원격접근을 조종하기 위하여 방화벽에 추가적인 망기판이 보충될수 있 
다. 실례로 회사가 자기의 공식적인 성원이 아닌 기업상대와 WAN 련결을 가지고 있다면 
방화벽 에 추가적 인 NIC 기판을 넣음으로써 또 하나의 부분망을 만들수 있다. 그러면 이 
원격기업상대에 련결하는 모든 경로기들은 이 부분망에 배치되게 된다. 방화벽은 이 싸 
이 트들과 내 부 망사이에 서 자료흐름을 조종할수 있게 된 다. 

추가적 으로 보안을 더 강화하기 위하여 자기 의 경 로기 의 정 적파케트러 과기 능을 
리용할수 있다. 이것은 망방어선에 여러층의 보호벽을 쌓는것으로 된다. 만일 보안 
장치 들중의 하나에 서 한가지 약점 이 발견된 다면 두번째 장치 가 그 약점 을 메끌수 있 
게 된다. 

이 기 초적 인 설계의 많은 변종들이 존재한다. 실례 로 보안을 더 욱 강화하기 위하여 
그림 5-14 에 보여 준 구성에다 추가적인 방화벽형태를 보충할수 있다. 실례로 그림에서 
의 방화벽 이 동적파케 트려과기 라면 자기 의 인 터네 트련 결 을 더 안전 하게 하기 위하여 그 
뒤 에 대 리 자방화벽 을 설 치할수 있 다. 


일러두기 

a # 통신대화가 방화벽을 통하여 지나가도록 하기 위하여 인터네트와 보호하 
려고 하는 자산사이에 방화벽을 설치하는것이 항상 좋은 생각으로 되지는 않는 
다는것을 기억하시오._ 


요 약 

여기서는 방화벽과 그것이 어떻게 동작하는가에 대하여 결론 지으려 한다. 방화벽의 
기초적인 형태와 모든 방화벽들이 제공하는 봉사들을 보면 다음과 갈다. 

• 정적/동적/상태/대리자려과 

• VPN 능력 

• 감시，등록 및 분석 

• 그밖의 봉사들과 제3자의 제품통합 

이제는 자기의 보안 및 기 업요구에 맞는 방화벽을 선택할수 있는 지식을 갖추게 되 
였 다. 

다음의 두 장들에서는 몇가지 특정의 방화벽제품들을 어떻 게 설치 하고 구성하겠는가 
하는 실례들을 고찰할것 이 다. 
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제 6 장. Cisco 경로기의 보안특징 


지금까지는 방화벽리론과 어떻게 그 장치들이 자료흐름을 려과하는가를 고찰하였다. 
이 장에서는 망방어선을 안전하게 하기 위하여 Cisco 경 로기를 어떻 게 구성할것 인가를 보 
기로 한다. 

Cisco 는 인터네트련결을 제공하는데서 기본적인 제품제공자로 되였으며 많은 사 
탐들이 자기 의 인 터네 트봉사제 공자에 련결 하기 위하여 Cisco 경 로기 를 사용하고 있 다. 
경 로기 는 전문으로 WAN 련결을 위하여 요구되 는 설비이 므로 Cisco 보안특징 들을 어 떻 
게 구성할것 인가를 아는것은 기업상대들사이의 자료흐름을 조종하는데서 쓸모가 있 
을것 이 다. 


Cisco 경로기 

Cisco 는 론쟁할 여지없이 하드웨어경로기의 첫째가는 공급자이다. 그것은 다양한 생 
산선을 가지고 있는데 이것은 그가 거의 모든 구성요구에 맞는 경로기를 가지고 있다는 
것 을 의 미한다. ISP 에 련결 하기 위하여 상사식 전화접 속， ISDN , 임 대 선，프레 임중계 , T 1 
또는 지 어 T 3 회 로를 쓴다고 하여도 Cisco 는 그 요구에 맞을수 있는 많은 제품을 가지 고 
있 다. 

Cisco 경 로기 계렬의 한가지 특이한 능력은 IOS 11. 3과 같은 재귀적 려과가 제 공된다는 
것 이 다. 재 귀 적 려 과는 Cisco 경 로기 가 련 결 대 화상태 를 유지 하게 한다 . 이 것 은 대 부분의 
경 로기 들은 정 적 려 과만을 지 원 하지 만 IOS 11 . 3 또는 그이 상급을 리 용하는 Cisco 경 토기 는 
동적파케트려과를 수행할수 있다는것을 의미한다. 이것은 완전성능의 방화벽 을 필요로 
하지 않는 작은 기관이나 또는 완전성능의 방화벽은 너무 비싸다고 여기는 환경에서 쓰 
기에 매우 리익이 된다(기업상대와의 WAN 련결과 갈은것). 이 특징모임도 또한 추가적 
인 방화벽대 책과 결 합되 여 방어선을 더 욱 강화할수 있다. 보다 새 로운 IOS 12.1 을 돌리 
는 Cisco 경로기들은 또한 련결시간과 문맥에 기초하여 려과할수 있으므로 보안장치로써 
의 쓸모가 더욱 커지 고 있다. 

인 터네 트련결을 위하여 경 로기 를 선택할 때 대 부분의 기 관를은 전통적 으로 Cisco 
2500 계 렬의 경 로기 를 선택하였 다. 그러 나 2500계 렬의 경 로기 들은 확장가능하지 못하기 
때문에 회사들은 보다 새로운 실현으로써 2600계렬을 구입하기 시작하였다. 그것은 모둘 
형식 이고 확장가능하며 다른 Cisco 경 로기계렬들과 호환가능한 대면부를 가진다. 

또 한 기 업 들 은 자 기 들 의 망 에 고 속 이 써 네 트 (100 Mbps ) ， 기 가 비 트 이 써 네 트 
(1000 Mbps ), VLAN (가상국부망)， VPN , 수자식 전화 그리 고 다매 체 흐름 등과 같은 보다 
새로운 기술들을 받아 들이기 시작하였다. 이 요구는 하나의 제작자에게 있어서도 경로 
기 제품들의 종류를 크게 증가시 켰 다. 

2500 및 2600계 렬의 널리 쓰이는 모형들에 대 한 요약를 표 6-1 에 주었다. 이전의 
Cisco 모형 들은 주로 이씨 네 트토막에 대 하여 Attachment Unit Interface ( AUI ) 련결을 리용하 
였으므로 이때 에는 송수신기까지 도 구입하여 야 하였다. 
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추 __21 

송수신기 는 AUI 련결 에 서 리 용된 DB 15 다리접 속과 꼬임 쌍선환경 에 서 리 용된 RJ 45 암 
접속사이를 변화해 준다._ 


표 6-1 Cisco 25W 과 2600 계 렬의 대표적인 모형들 


모형 번호 

가지고 있는 포구 

속 도 

2503 

1 이써네 트， 1BRI, 2 직 렬 

128K ISDN, 10Mbps 

2520 

1 이씨네트 (AUI), 1BRI, 

1 이 씨네 트 (RJ45), 1 직 렬 

128K ISDN, 10Mbps 

2610 

1 이씨네 트 (RJ45), 1 망모듈 

확장홈, 2WAN 대면부카트 

포구에 따라 다름 
(최대 100Mbps) 

2611 

2 이써네 트 (RJ45), 1 망모듈 

확장홈, 2WAN 대 면부기판， 

1AIM 확장홈 

포구에 따라 다름 
(최대 100Mbps) 


어디서 시작할것인가 

Cisco 경로기는 매우 유연성 있는 장치 이다. 구성가능한 선택기능의 수는 솔직히 말 
하여 거대 한 수에 달한다. 실례로 IOS 12.1( 최근의 기본 OS 발표)에 대한 직결 《Cisco 
IOS 쏘프트웨 어지 령요약집》은 수백폐지 에 달한다. 이것은 완전히 구체적 인 지도서가 아 
니 라《요약집》인데도 주머 니 에 넣을수 있는 그런 작은것은 아니 다. 

Cisco 경로기를 어떻게 구성할것 인가 하는 완전한 서술은 이 책의 범위를 벗 어 난다. 
여 기서는 간단히 이 장치를 리용하여 보안방책을 어 떻게 실현할것 인가 하는데 집중하기 
로 한다. 그러므로 우리는 다음의 내용들을 가정하겠다. 

• IOS 12.0 또는 그이상급이 경로기에 적재되였다. 

• 경로기에는 전원이 련결되였고 LAN 과 WAN 에 물리적으로 련결되였다. 

• 두 대면부는 유효한 IP 주소와 부분망마스크를 가지고 있다. 

• 자기의 ISP 에 위 치 한 WAN 의 다른 끝에서 그 경 로기 에 Ping 지 령 을 보낼수 있다. 

• 독자는 Cisco 지 령대 면부에 대 하여 상당히 알고 있다. 

이 요구들이 만족되면 자기의 방어선차단을 시 작하기 에 준비된것 으로 된다. 

기초적인 보안관련문제 

방어 선을 안전하게 하는데서 출발점 은 경 로기 자체 가 손상되 지 않도록 담보하는것 
이 다. 만일 공격 자가 그 구성 을 변경시 킬수 있다면 경 계 선을 통과하는 자료흐름을 조 
종하는데서 경 로기 는 잘 리용되 지 않을것 이 다. Cisco 경 로기 는 여 러 가지 접 근준위 를 제 
공한다. 
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• 사용자 EXEC 방식 

• 특권 EXEC 방식 


사용자 EXEC 방식 

사용자 EXEC 방식은 Cisco 경로기에 련결할 때 사용하게 되는 첫 조작방식이다. 만일 직 
접조종탁대화를 돌리고 있다면 자동적으로 사용자 EXEC 방식에 있는것으로 된다. 만일 telnet 
대화를 통하여 경로기에 련결하고 있다면 먼저 말단통과암호를 입력해야 한다. 


죽 __°1 

Cisco 경로기는 말단통과암호가 설정되지 않았다면 모든 telnet 대화시도를 거부할것 
이 다. 


Cisco 경 로기 는 현재 어 느 조작방식 을 리용하고 있는가에 따라 말단입 력차림 표방식 을 
변화시킨다. 이 입력차림표는 항상 경로기의 이름으로 시작하고 사용자가 어디에 있는가 
를 알도록 하는 어 떤 특수한 순서 로 끝난다. 표 6-2 는 일 반적 인 입 력차림 표들의 일 부들 
을 보여 준다. 


표 6-2 Cisco 지령입력차림표 


입력 차림표 

설 명 

router〉 

사용자 EXEC 방식 

router# 

특권 방식 

router (config)# 

전체 구성 방식 

router (config-if) # 

대면부구성방식 


다른 입 력차림 표들의 의미 에 대 하여서 는 지 금은 걱정하지 않아도 된다. 다음절에서 
그것들을 고찰할것 이 다. 

사용자 EXEC 방식에서는 사용자가 련결을 검사하고 통계를 볼수 있지만 그 장치에 
어떤 형태의 구성변화를 줄수는 없다. 이것은 말단통과암호가 손상되거나 또는 공격자가 
그 장치에 물리적으로 접근할수 있을 때 공격자에 의하여 초래될수 있는 손실의 크기를 
감소시킬수 있게 한다. 

특권 방식 

사용자는 특권방식에 들어 가기전에 먼저 사용자 EXEC 방식에 틀어 가야 한다. 이것 
은 공격자가 경로기에 완전접근을 얻으러면 두개의 통과암호를 깨야 한다는것을 의미한 
다. 특권방식 은 기정 에 의 하여 큰 kahuna 이 다. 이 접 근준위 에서 사용자는 구성 파라메 터 
들을 자유롭게 변화시키거 나 지 울수 있다. 
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다음의 지령을 입력함으로써 특권방식에 들어 간다. 


enable 

password : privilege_password 


특권적 인 접 근권을 얻 기 위하여 지 령 enable 을 리용하므로 이 방식 은 때 로 enable 방식 
이라고 부론다. 이전에는 통과암호를 변화시키기 위하여 다음과 같은 지령을 사용하였다. 
enable password new_password 

그러나 Cisco 는 지금 보다 강한 암호화알고리듬을 리용하는 다음의 지령을 사용할것 
을 권고한다. 

enable secret new_password 

사실상 16개까지의 (0~15) 특권준위접근을 규정할수 있는데 매개는 자기의 일의적인 
통과암호를 가진 다. 이 경 우에 사용자가 특권 방식 을 접 근할 때 입 력하는 통과암호는 사 
용자가 어느 준위의 특권접근을 받고 있는가를 결정한다. 이것은 관리 자가 어떤 특권준 
위지 령 에 접근한다면 유용할수 있지만 모두 그런것은 아니 다. 특정의 특권준위에 대 하여 
통과암호를 설정하려면 다음의 지 령을 입 력한다. 
enable secret level new_password 

여기서 lebel 은 0 부터 15사이의 어떤 값으로 교체된다. 이 값이 작을수록 특권준위접 
근의 준위가 더 낮다. 

모든 리용되지 않는 봉사들을 불가능으로 하기 

어 떤 망가능장치 에 대 한 한가지 일 반적 인 보안방법 은 리용되 지 않는 모든 봉사들을 
불가능으로 하는것이다. 리용되지 않을 때 불가능으로 되여야 하는 봉사들의 실례로는 
다음의것 들을 들수 있 다. 

• SNMP 

• NTP (망시간규약) 

• CDP (Cisco 발견규약) 


둑 __°1 

NTP 와 CDP 는 기정으로 가능하게 된다. CDP 를 불가능으로 하기 위해서는 no cdp 
run 지령을 사용한다. NTP 에 대하여서는 NTP 를 리용하지 않는 매 대면부에서 ntp 
disable 지령을 사용한다._ 


가입■學화면을 변경시키기 

가입 등록화면을 변경시 켜 선택 적 인 통보문이 연시 되 게 하는것 이 한가지 좋은 생 각이 
다. 공격자가 경로기에 접근하려고 할 때 그에게 《 Welcome 》 이라는 통보문이 나타나도 
록 하는것 이 최근의 류행 이 다. 그 통보문은 망하드웨 어 에 대 한 권한 없는 접근에 대한 
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기관의 태도를 반영하여야 한다. 다음과 같은 명령으로 화면의 제목을 변경시킨다. 
banner login # message # 

여 기서 #는 ASCII 범 위 의 문자이 다. 이 문자는 통보문안에서 리용할수 없으며 그 명 
령 이 어 디서 통보문이 끝나는가를 알도록 하기 위하여 리 용된다. 통보문을 여 러 행 으로 
만들수 있다. 특권방식에서 이 명령을 리용하여야 한다. 

이 명령의 한가지 실례는 다음과 같다. 

banner login # Unauthorized access prohibited # 

말단통과암호를 변 화시 키 기 

12.1 에서 돌아 가는 Cisco 경로기는 여러개의 병행적인 telnet 대화를 지원할수 있다. 
이 통과암호들을 규칙 적 으로 변화시키 는것 은 그 장치 가 손상 당하지 않도록 담보하기 위 
한 좋은 생각이다. 이러한 련결들중 하나(먼저 기호 ‘0’ ) 에 대한 통과암호를 변경시 
키기 위하여서는 먼저 특권방식에 들어 가서 다음의 명령을 입력하여야 한다. 

line vty 0 
login 

password 2 SeCret 4 U 


일러두기 

Cisco 통과암호들은 소문자，대문자들을 구별하므로 통과암호를 알아 맞추기 어렵게 
하려면 소문자, 대문자를 결합하는것 이 좋다. 


원격으로 접속할 때 어느 vty 를 리용할지 선택할수 없으므로 Cisco 는 모든 vty 통과암 
호들을 갈은 문자렬에 설정할것을 권고한다. 

보다 강한 통과암호인증의 리용 

지난 시기 에 Cisco 통과암호체계의 약점은 계산능력 이 없는것이 였다. 매 관리 자는 같 
은 통과암호를 리용하고 있었으므로 누가 어떤 변화를 만들었는가를 알수 있는 조사결과 
가 없었다. I 0 S 12.0 에서부터 시작하여 Cisco 는 통과암호체계에서의 약점들을 보강하기 
위하여 AAA (인증, 권한，회 계 ) 라고 부르는 새 로운 보안체 계 를 받아 를이 였 다. 

인증 이것은 사용자를 식별하는 방법으로서 가입등록시 통과암호를 요구하는것，물 
음에 응답하는것 그리고 암호화 등 여 러 가지를 통해서 할수 있다. 

권한 이것은 접근을 조종하는 방법인데 1회용 또는 봉사에 기초한 권한，사용자당 
구좌，사용자집 단 그리고 규약에 기초한 접근조종 ( IP ， ipx , ARA 및 telnet ) 
등이 있다. 

회계 이것은 정보를 모으는 방법인데 망활동을 표로 만들고 조사하며 보고하는데 
리 용된다. 정 보의 형 식 들로는 사용자신분，시 작 및 끝시 간, 리 용된 지 령 (FTP 
get 와 갈은) 파케트 또는 byte 수 등이다. 회계를 통하여 사용자는 그들이 접근 
한 자원과 련관되게 된다. 
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Cisco 는 AAA 와 함께 RADIUS, TACACS+ (말단접근조종자 접근조종체계) 그리고 
Kerberos 를 포함하여 공업 규격화기술들을 실 현 할것 을 선택하였 다. AAA 밖에 서 의 인증구 
성은 이 규격화들과 함께 동작할수 없다. 아래에서는 Cisco 가 AAA 에서 이것들을 어떻게 
실현하는가를 보여 준다. 

RADIUS 경 로기 들은 인증정 보를 RADIUS 봉사기 에 전송하는 RADIUS 의 뢰기 들이 
다. 

TACACS + UNIX 또는 NT 기계 에서 돌아가는 봉사에 의 하여 자료기지 가 유지된 
다. 경 로기 들은 TACACS+ 봉사에 로의 요청 을 통과시 킨다. 

Kerberos Kerberos 는 사용자와 그들이 리용하는 망봉사들이 누구이며 무엇인가 
를 확인하는데 리용된다. 경로기는 권한 받은 사용자에게 배당된 
Kerberos 표를 분석 하여 이것을 확인할수 있다. 

SNMP 지원 

단순망관리 규약 (SNMP) 은 Cisco 경 로기 에 대 한 통계 들을 수집 하고 구성변화를 만들기 
위하여 리용될수 있다. 이것은 공동체문자렬의 리용에 의하여 수행된다. 간단히 말하여 
공동체 문자렬 은 한 장치 에 대 한 특정 의 접 근준위 (읽 기 전용 또는 읽 기 -쓰기 ) 를 식 별 하는 
통과암호체 계 이 다. 

실례로 대부분의 장치는 그 장치에 대하여 읽기전용접근을 허용하는 Public 라는 공 
동체문자렬 을 사용하도록 미 리 예 비구성되 여 있다. 이 공동체문자렬 을 리용하여 SNMP 
를 통하여 그 경로기에 접근하는 사람은 자동적으로 접근이 허가된다. 

인증이 약한것외 에 SNMP 는 또 하나의 주요한 보안약점 을 가진 다. 그것 은 모든 정 
보를 평문으로 전송한다는것 이 다. 망을 감시 하던 사람은 통과하는 자료흐름으로부터 공 
동체이 름을 가로챌수 있 다. 

SNMP 는 또는 전송규약으로 UDP 를 사용한다. 제 5 장에서 본바와 같이 UDP 는 그것 
의 비련결성으로 하여 려과하기 매우 어렵다. 

이러한 리유들로 하여 가능하다면 자기의 경로기에서 SNMP 를 리용하는것을 피하여 
야 한다. 관리가능성은 큰 환경에서는 실제적인 리득일수 있지만 경로기에 들어 가는 이 
뒤문은 엄 중한 보안문제 를 초래할수 있 다. 


일러두기 

만일 SNMP 를 리용하여 야 한다면 SNMPv2 을 리용하시오. 이 최신판본은 MD5 인증을 
지원하여 보안을 개선시킨다. 이 보안은 간단한것은 아니고 원래의 SNMP 보다 훨씬 
좋다. Cisco 경 로기 판본 10.3 이상은 SNMPv2 를 지원한다. 


구성파일을 지키기 

Cisco 경로기의 구성은 다음의 지 령을 입 력하여 볼수 있다. 
write term 또는 show running-config 

구성 파일 은 TFTP 규약을 리 용하여 원격 봉사기 에 복제 될 수도 있 다. Cisco 경 로기 파일 
의 표본머리부를 아래에 보여 준다. 
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! Cisco router configuration file 
hostname lizzybell 
enable secret 5 $ 1 $ 722 $ CE 
enable password SuperSecret 
line vty 04 
password SortaSecret 
! 

특권방식 (enable) 통과암호는 한방향암호화알고리 듬을 리 용하여 암호화된다. 그러 므 
로 구성 파일 을 보는 사람은 이 통과암호를 즉시 리 해 하지 못한다. enable password 문자렬 
은 그저 뒤방향호환성 을 위하여 리 용된 다. 만일 이 구성파일 이 암호화된 통과암호를 지 
원하지 않는 이 전의 경 로기 에 틀리 게 적재된다면 이 통과암호는 암호화된것 대 신에 리용 
된 다. 

그러나 telnet 대화통과암호들은 평문으로 되여 있으므로 이 파일은 가능한껏 엄밀히 
지켜야 한다. 만일 이 파일이 TFTP 를 통하여 적재된다면 그 망을 감시하는 공격자는 지 
금 이 장치 를 접 근하는데 필 요한 첫 통과암호를 가진것 으로 된 다. 이 정 보를 더잘 지키 
기 위하여 전체 구성 방식 에서 다음의 지 령을 입 력 함으로써 모든 통과암호들을 암호화할 
수 있다. 

Service password-encryption 

이것은 모든 통과암호문자렬들의 기 억기복사본을 암호화한다. 이것을 영구적 인것으 
로 만들기 위 해서 는 다음과 같이 입 력하여 그 변화를 보관하여 야 한다. 
write term 


copy running-config startup—config 

모든 통과암호문자렬들이 지 금 암호화되 였지 만 아직 도 구성파일 을 안전하게 하기 위 
한 예방조치를 더 취해야 한다. 암호화된 문자렬을 사전파일에 있는 항목들과 비교함으 
로써 통과암호의 값을 알아 내 려고 시도하는 크래커프로그람들이 존재한다. 어떤 하나가 
맞는다면 그 통과암호에 등가한 평문이 얻어 진다. 이러한 형태의 공격을 막기 위한유 
일한 방법은 암호화된 통과암호문자렬들이 나쁜 손에 들어 가지 않도륵 하는것이다. 

속임수로부터의 보호 

공격 자는 속임수를 씨서 방화벽의 안전한 쪽으로부터 오는것처럼 보이는 하나의 파 
케트를 전송할수 있다. Cisco 경로기에서 속임수를 막는 몇가지 방법들이 있다. 

• 접근목록의 사용자료흐름이 알려 진(또는 기대되는) 원천주소로부터 올 때에 
만 통과시키는 모든 대면부들에서 입구접근목록을 만든다. 모든 다른 자료흐 
틈은 거절된다. 
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• 불가능한 원천경로조종: 원천경로조종이 모든 대면부들에서 불가능으로 되여 
야 한다. 

• 작은 봉사들은 꺼버리기: 이러한 봉사들은 대부분의 망기반구조들에서 보통 
중요하지 않으나 악용될 가능성 이 있 다. 지 령 no service tcp - small - serves 가 
IP 통신에서 이것들을 꺼버리는 하나의 실례 이 다. 

방향 가진 방송을 금지하기 

DoS (봉사거부)공격은 목표콤퓨터에 많은 정보(또는 많은 련결요청)가 넘쳐 나게 함 
으로써 그 목표가 합법적인 요청에 봉사할수 없게 한다. 이러한 형태의 공격에 해커들이 
리용하는 도구들중의 하나는 방향 가진 방송을 전송하는 경 로기 의 능력 이 다. 방향 가진 
방송들을 불가능으로 하기 위하여 다음의 지 령을 입 력한다. 

no ip directed broadcast Routing 

기정 에 의하여 Cisco 경 로기 들은 IP 경 로조종이 가능으로 되 여 있고 당신은 이 기능을 
변경시킬수 없다. 그러나 자기의 내부망에서 어느 부분망을 돌리고 있는가를 고려하여 
어 떻게 하면 자기의 경 로기를 가장 잘 갱 신할것 인가를 고려하여 야 한다. 경 로기는 자동 
적으로 국부적으로 련결된 망들에 대하여 알고 있다. 그뒤에 있는 어떤 부분망에 도달하 
기 위하여서는 경로기에 어떻게 거기에 도달할것 인가를 구체적으로 알려야 한다. 



그림 6-1. 방화벽 이 NAT 를 수행 하고 있으므로 우려의 경로기는 
내부망에 대한 경로항목을 알 필요가 없다 


때로 이것은 문제로 되지 않는다. 실례로 그림 6-1 을 보기로 하자. 우리의 방화벽은 
내부망을 위하여 망주소변환 ( NAT ) 을 수행하고 있다. 경로기가 보는 모든 자료흐름은 
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국부적으로 부속된 토막으로부터 오는것처럼 나타날것이다. 이 경우에 기정의 경로기를 
넘어서 어 떤 다른 경 로항목이 요구되 지 않는다. 우리 는 NAT 를 리용하고 있으므로 경 로 
기는 192.168.1.0 에 대하여 알 필요가 없다. 

만일 경 로기 가 알아야 할 추가적 인 부분망을 가지 고 있 다면 그 경 로기 에 정 적항목을 
만들것 인가(정 적경 로조종) 또는 경 로기 가 경 로정 보를 자동적 으로 받도륵 하기 위하여 
RIP 나 OSPF 과 같은 동적 규약을 리용할것 인가(동적경 로조종) 하는것 을 결정하여 야 한다. 
매 선택에는 구성에 따라 우점과 약점 이 있다. 

정적경 로조종은 보안의 견지 에서 보다 안전하다. 만일 경 로기 가 이 미 어떤 경 로구성 
으로 프로그람화되였다면 공격자는 그 경로기를 손상시킴이 없이는 이 정보를 변화시킬 
수 없 다. 만일 동적규약이 리용된 다면 공격 자는 틀린 갱 신의 내 용을 경 로기 에 보내 여 경 
로표를 혼란시킬수 있다. 동적경로조종은 같은 망에서 여러개의 경로들을 운영하고 있다 
면 유용하다. 실례 로 만일 인터네 트에 로 가는 여 러개의 련결을 가지 고 있다면 여유 또는 
부하균형 을 위하여 동적경 로조종규약을 사용하는것 이 리 로울수 있 다. 만일 동적경 로조종 
규약을 리용하여 야 한다면 OSPF 와 같은 인증을 지 원 하는것 을 리용하는것 이 좋다. 이 것 
은 적 어도 일정한 정 도의 보안을 제공할것 이 다. RIP 와 같은 경 로조종규약은 그저 경 로 
정보를 보내는 호스트가 그것이 무엇에 대하여 말하고 있는가를 알아야 한다는것을 믿고 
있 다. 


둑 __°1 

동적경 로조종에 대 하여 서 는 제 3장을 보기 바란다. 


리용중에 있 는 인 터네 트련결 의 대 부분은 그 기 관과 그의 ISP 사이 에 하나의 련결 만을 
가지고 있다. 이러한 환경에서는 정적경로조종이 적합하다. 경로조종표를 수동적으로 작 
성 하는데 드는 약간의 유지 비증가는 추가적 인 보안을 위하여 필 요한것 으로 볼수 있 다. 

정적경로조종의 구성 

최소로 자기의 경 로기 를 기정의 경 로기 설정 으로 구성하여 야 한다. 기 정의 경 로기 설정 
은 다음과 같이 말하는것 이 다. 《만일 당신이 특정의 부분망에 대한 경로표항목을 가지고 
있지 않다면 그 자료를 이 다른 경로기에 전송하고 그 경로기로 하여금 그것을 어떻게 배 
달할것인가를 판단하게 하시오.》기정의 경로는 WAN 련결의 다른 끝에서 ISP 의 경로기를 
리용하도록 구성되 여 야 한다. 

기정의 경로는 전체 구성 방식 에 들어 가서 다음의 지 령을 입 력하여 구성할수 있다. 
ip default-route xxx . xxx . xxx . xxx 

여 기서 xxx . xxx . xxx . xxx 는 기정 경 로기의 국부 IP 주소이 다. 일 단 기정 경 로를 만들， 
었다면 합법적인 주소들을 리용하는 매 내부부분망들에 대하여 정적경로들을 넣어야 할 
것이다. 역시 전체 구성방식에서 다음의 지령을 입력한다. 

ip route yyy . yyy . yyy . 0 255.255.255.0 xxx . xxx . xxx . xxx 1 

이것을 추가하려고 하는 매 부분망들에 대하여 한번씩 하여야 한다. 이 지령은 다음 
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과 같이 해석 할수 있다. 

ip route ： 정적 IP 경로항목을 첨가하시오. 
yyy . yyy . yyy . O ： 이 값을 IP 부분망주소와 교체하시 오. 

255.255.255.0： 이 값을 정 당한 부분망마스크주소와 교체 하시 오. 

XXX . XXX . XXX . XXX ： 이 값을 다음 도약경 로기 의 IP 주소와 교체하시 오. 

1: 이것은 이 경로를 따라 가는것과 관련한 거리 또는 비용이다. 같은 목적지 
에로의 여러개의 경로를 가지고 있지 않는 한 1값을 리용하시오. 여러개인 경 
우에는 가장 바라는 경 로는 1로 설정 하고 그 다음경 로는 2로 설정 하면 된다. 

이것이 어떻게 구성되는가를 보기 위하여 한가지 실례를 고찰하자. 그림 6-2 를 보면 
구성하려 는 환경 에 여 러 개의 경 로기 가 있다는것을 알수 있다. 

_ 網^^ 

철 



매개 경로기는 기정의 경로설정을 가지고 있다. 만일 망 (206, 121, 76, 0 또는 206, 
121, 78, 0) 의 제 일 뒤 에서 출발한다면 기 정의 경 로항목들은 모두 인터네 트에 로 향한다 
는것을 볼수 있다. 이것은 좋은 일이라고 볼수 있다. 왜냐하면 우리의 경로기에로 프로 
그람화되는것 을 피 하려 고 하는것 이 인터네트밖의 모든 부분망들이기때 문이 다. 기정의 경 
토는 정의되지 않은 경로에 대하여 포괄적인것으로서 작용한다. 


주 의 

그림 6-2 에서 두개의 가장 멀리 있는 경로기들은(206，121，75, 1과 206, 121, 77, 
2) 기정의 경로만을 리용하고 있다. 여기에는 정적경로항목이 없다. 이것은 이 장 
치 에 직 접 불어 있지 않는 부분망에 도달하기 위 하여서는 기정경 로기 를 통과시키 려 
하기때문이다. 정적경로항목들을 첨가할수 있지만 그것들은 여분으로 된다. 
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마지막으로 DMZ 에 대해서는 우리의 경로기들에 경로항목을 하나도 첨가하지 않았 
다는것을 주목하여 야 한다. 이것은 그것 이 필요하지 않기때문이 다. 우리의 인터네 트경 로 
기는 이 토막에 직접 붙어 있으므로 어떻게 거기에 가야 하는가를 이미 알고 있다. 다른 
경 로기 들에서 와 같이 DMZ 도 간단히 기정의 경 로항목을 리용하여 도달할수 있다. 

원천경로조종 

우리는 이제 하나의 최종적 인 경로항목을 만들어 야 한다. 대표적으로 IP 파케트들은 
경 로정 보를 포함하지 않는다. 파케 트들은 최 량의 경 로를 선택하는것 을 망경 로조종하드웨 
어에 맡긴다. 그러나 원격체계에 접근할 때 취하려고 하는 경로를 머리부정보에 첨가하 
는것 이 필요하다. 이것을 원천경 로조종이라고 부론다. 

경 로기 가 하나의 원천경 로파케 트를 받을 때 그는 머 리부에서 정의 된 다음번 도약에 
로 그 정보를 전송한다. 그 경로기가 원격체계에로 도달하는 보다 좋은 경로를 알고 있 
다고 해 도 그것 은 파케 트머 리 부안의 경 로지정 에 따른다. 대 표적 으로 원격 체 계 가 하나의 
원천경로파케트를 수신할 때 그것은 같은 지정된 경로에 따라 그 요청에 응답할것이다. 

원천경 로조종은 망에 있는 잠재 적 인 뒤문을 악용하려 고 하는 공격 자에 의하여 리용 
될수 있다. 실례 로 회 사가 어떤 적 당한 방화벽 을 설 치하는데 많은 시 간과 돈을 투자하였 
다고 하자. 회 사는 자기 의 인 터네 트련 결 을 될 수록 든든히 잠그기 위하여 많은 노력 을 기 
울였 다. 

또한 회 사가 방화벽뒤 에서 자기 의 망에 련결하는 원격기 업상대 와 하나의 WAN 련결 
을 가지고 있다고 가정하자. 이 기관도 인터네트련결을 가지고 있는데 거기에는 보안에 
대 한 모든 선전 이 방화벽제 작자들의 시 장책 략이 라고 생 각하지 않는 사람들로 구성되 여 
있다. 그러므로 기업상대는 자기의 망방어선에 대한 보호를 가지고 있지 않다. 

원천경 로파케 트를 리용하면 잠재 적 인 공격 자가 먼저 원격기 업상대 에 게 자료흐름을 
보내고 다음에 자료파케트안에 있는 원천경로정보를 리용함으로써 그 자료흐름이 WAN 
련결을 통하여 회사의 망에로 전송되게 할수 있다. 모든 보안노력에도 불구하고 공격자 
는 회사의 망환경에 들어 가는 쉬운 접근통로를 찾아 내였다. 

원천경로조종은 해로운것일수 있으며 모든 망환경에서 불가능으로 되여야 한다. 원 
천경로파케트를 허용하는 유일한 합법적인 리유는 인터네트우의 특정한 련결에 대한 련 
결성진단을 하려 고 할 때 필요하다는것 이 다. 이것은 우리 가 해 야 할 일중에서 큰 부분이 
아니므로 그 기능은 불가능으로 해놓는것 이 제 일 좋다. 

원천경로조종을 불가능으로 하기 위해서는 전체 구성방식에 들어 가서 다음의 지령 
을 입 력한다. 

no ip source-route 


Cisco 보안의 특징 

표 6-3 은 Cisco IOS 에서의 여 러 가지 보안상 특징들에 대 한 목록을 제 공한다(일부는 
가장 최근의것 이 다.). 
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한 경고와 등록에 응답가능하다. 

모든 망자료흐름을 지정된 징후와 비교한다. 침입이 검출되면 경보를 

내고 련결을 재설정하거나 차단한다. _ 

사용자에 기초한 접근방책들을 적용한다(집 단 또는 IP 에 기초한 접근방 

책에 대립하는것으로서). _ 

문맥에 기초한 접근조종4 등록되지 않은(규격화되지 않은) 또는 주문 

포구들에서 작업하는것을 가능으로 한다. _ 

사설 ip 주소들을 공개인터네트로부터 숨긴다. _ 

사용자구좌에 기초하여 신분 및 허용준위를 확인한다. _ 


.안방법 들의 핵 심 부에는 접 근목록이 있 다. Cisco 접 근목록 (려과기 라고 
:: isco 경로기가 수신한 자료흐름을 선택적으로 통과 또는 차단하는데 리 
- 수신된 매 파케트를 정보의 원천 또는 목적지주소，웃층의 규약，시3 
斗 갈은 접근목록에서 정의된 규준들에 따라 평가한다. 

망경계선을 통과하려고 하는 자료흐름을 조종하는데서 유용하게 쓰인 t 
되으로 망토막들을 격 리 또는 분할하는데 리용되므로(실례로 망을 기 업 
트로부터 분리하는것) 독자는 왜 이 장치들이 고급한 려과기능을 가지 
있을것 이다. 

1는 자료흐름을 려과하는 두가지 방법을 제공한다. 가장 간단한것은 표 
i 다 세밀한 조종을 위하여서는 확장접근목록이 리용된다. 

뜨목록이 만들어 지면 그것은 그 경로기의 어느 특정의 대면부에 적용된 
는 들어 오는 망자료흐름(부속된 망으로부터 그 대 면부에 로 오는) 또는 
I ■(그 경로기를 떠나 부속된 망에로 가는)을 하나씩 조사할수 있다. 

또는 나가는 자료흐름을 려과하는 능력은 복잡한 구성에서 실제적 인 시 
있 다. 

12.1 에 서 IP 와 IPX 확장접 근목록이 시 간대역 에 따라서 도 리용될 수 있 t 




증가된 조종 자원 ( IP 주소/마스크쌍，포구번호，경로조종방책 또는 요구에 따르는 
련결만들기)들은 준비된 시간에 련결된다. 

더 좋은 통합 시간에 기초한 방책은 Cisco 의 방화벽 및 IPSec 제품들과 련결될수 있 
다. 

비용의 감소 자료흐름은 시간에 기초하여 보다 적은 비용으로 다시 경로조종될 
수 있다. 

효과성증대 접 근목록은 그날의 열린 시 간에 처 리 되지 말아야 한다. 

시간대역을 만들기 위하여 다음의 지령을 리용한다. 


time-range {name of time range } 

실 제 적 인 시 간대 역 을 정 의 하기 위 해 서 는 다음의 지 령 을 입 력 한다. 

Periodic {days of the week } { hh ： mm } to {days of the week } { hh : mm } 

접근목록의 기초 

접 근목록은 목록식 별 자번호들과 련관되 는 많은 검 사조건들을 만듦으로써 형 성된다. 
접 근목록은 전체 구성 방식 에 서 다음의 문법 을 리용하여 창조한다. 
access-list {list #} permit/deny {test condition } {time range } 

자료흐름을 골라 내 는데 리용하려 고 하는 매 검 사조건들 ( SMTP 는 허 용하고 HTTP 는 
거부하는 등의)에 대하여 이 지령을 반복한다. 리용하는 목록번호는 어느 규약에 이 규 
칙들을 적 용하려 고 하는가를 식 별한다. 표 6-4 는 이 름과 관련된 규약들을 보여 주며 표 
6-5 는 목록번호와 관련된 규약들을 보여 준다. 

표 6-4 이름에 의한 Cisco 접근조종목록들 

규 약 

_ Apollo Domain _ 

IP _ 

IPX_ 

ISP CLNS_ 

NetBIOS IPX_ 

Soure-route Bridging NetBIOS 


죽 __°1 

어 떤 규약들은 자기 들의 련관목록표가 이 름에 의 해서 만 또 다른것 들은 번호에 의해 
서만 식별될것을 요구한다. 
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표 6-5 번호에 의한 Cisco 접근조종목록의 표본 


규 약 

목 는형식 

대역 식별자 

IP 

표준 

1-99；1300-1999 

IP 

확장 

100-199；2000-2699 

Ethernet Type codes 

N/A 

200-299 

AppleTalk 

N/A 

600-699 

Ethernet Addresses 

N/A 

700-799 

IPX 

표준 

800-899 

IPX 

확장 

1000-1099 


어떤 규약들에서는 한가지 려과형 태만이 지원된다는것을 알아야 한다. Cisco IOS 
11. 2와 그이상급들에서 처 럼 IP 에 의하여 리 용되는 대 역 식 별자들은 기 호적인 이 름으로 교 
체될수 있다. 이 이름은 64문자만큼 길수 있는데 첫 기호는 문자여야 한다. 이름은 일의 
적이여야 하며 매개 이름은 하나의 표준 또는 확장려과기모임을 지적하여야 한다. 두개 
를 결합할수는 없다. 접근목록이름을 만드는 문법은 다음과 갈다. 


IP access - list standard/extended { name } 


일러두기 

접 근목록번호대 신 이 름을 리용하면 매 우 유리하다. 그렇 게 하면 만들수 있는 일의 
적 인 목록의 수를 확장할수 있고 서 술적이 름을 특정 의 려 과기모임 과 련결시 킬수 있 
다. 또한 재귀려 과기들은 접근목록이름과만 련결될수 있다. 접근목록식별자번호를 
사용할수 없다._ 


접근목록들은 그것들을 만드는 순서로 처리된다. 만일 5개의 려과기조건들을 만들고 
그것들을 같은 접근목록에 넣는다면 경로기는 첫번째 맞춤이 얻어 질 때까지 그것이 만 
들어 진 순서 로 매 조건들을 평 가한다. 조건들은《 가장 잘 맞음》이 아니 라《 첫번째 
맞춤》으로써 처 리 되며 따라서 리용하는 순서 에 주의 를 돌리 는것 이 중요하다. 

실례로 다음과 같은 접근목록을 가지고 있다고 가정하자. 

• 모든 내 부체 계 들에 인 터네 트에 로의 완전한 IP 접 근을 허 용한다. 

• 어 떤 내 부체 계 도 인 터네 트우에 호스트들에 서 telnet 를 할수 없 다. 

첫 번째 규칙은《모든 밖으로의 자료흐름은 허용된다.》이므로 이것을 두번째 규칙 
에 맞출수 없다. 이 것은 내 부사용자들이 아직 telnet 를 리용할수 있 다는것 을 의 미한다. 

일 단 자기의 경로기 에 적용하려고 하는 접근표를 만들수 있다면 특정의 대면부를 위 
한 구성 방식 에 들어 가서 다음의 지 령을 입 력하면 된다. 

{protocol} access-group {list # or name} in/out 

어떤 대면부로부터 하나의 접근목록을 제거하기 위하여서는(새로운 려과기를 시험하고 
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있을 때 흔히 하는것) 간단히 그 지 령앞에 단어 no 를 붙이면 된다. 


no {protocol} access-group {list # or name} in/put 


마찬가지로 전체 접근표를 지우려면 다음의 지령을 입력한다. 
no access-list {list # or name} 

이것은 특정의 접근목록번호 또는 이름과 련관된 모든 려과기조건들을 지우게 된다. 
접근목록의 가장 큰 결함의 하나는 사용자가 항목들을 편집할수 없다는것이다. 이것은 
자료항목들이 좀 장황하게 되게 한다. 실례로 15개의 접근목록항목들을 만들었는데 실제 
로 항목 13 후에 항목 나를 처 리하여 야 한다는것 을 알았다면 전체 목록을 지 우고 그것 을 
처음부터 다시 만들어 야 한다. 


일러두기 

접근표를 본문편집기에서 따로 만들자. 정확한 순서로 되여 있는 려과기들을 가지 
고 있다면 간단히 그 규칙들을 Windows 의 오려둠판에 복사하고 말단모방기의 붙이 
기 기 능을 리용하면 된다. 그러 면 자기 의 모든 려 과기 조건들은 국부적 여벌 복사를 가 
지게 된다. 


모든 접근려과기들은 그끝에서 하나의 무조건적인 거부를 가지고 있다. 이것은 경로 
기 에 어떤 형 식의 자료흐름을 통과시 키 라고 구체적 으로 지 적하지 않는다면 그것 은 차단 
될것 이 라는것을 의미한다. 실례 로 만일 접근목록이 《부분망 192.168.1.0 에서 오는 자료 
흐름은 통과시키시오.》라고 되여 있다면 경로기는 192.168.1.0 을 제외한 모든 부분망들 
로부터 오는 자료흐름을 차단하여야 한다고 가정할것이다. 이러한 특징은 의도하지 않은 
것은 그 어느것도 할수 없도록 담보하는데서 도움이 된다. 

표준접근목록 

표준접근목록은 원천 IP 주소상에서 려과하게 하는것이다. 이것은 어떤 특정의 부분망 
또는 호스트로부터의 모든 자료흐름을 차단하려고 할 때 유용하다. 표준접근목록은 목적 
지 IP 주소 또는 그 봉사까지도 보지 않는다. 그것은 전송하는 체계의 원천주소안에 의거 
하여 려과결정을 한다. 

이것은 좀 제한성이 있으나 사실상 매우 유용할수 있다. 그림 6-3 을 보자. 여기서는 
하나의 매 우 간단한 망설 계 를 볼수 있다. 망의 안으로 및 밖으로 유일한 하나의 길 만이 
있는데 그것 은 경 로기 를 통하게 되 여 있다. 내 부망토막은 IP 부분망주소 206.121.73.0 을 
리 용한다. 

이 환경에서 경로기는 IP 부분망 206.121.73.0 으로부터 오는것으로 나타나는 자료는 
보지 말아야 한다. 그것은 그 망토막이 경 로기 의 그 이써네 트포구에 직 접 련결되 여 있기 
때 문이 다. 경 로기 는 자기 의 이씨네 트포구의 이 부분망으로부터 오는 자료흐름을 보고 있 
지 만 그것 은 직 렬 (WAN) 포구의 밖에 서 는 검 출되 여 서 는 안된 다 . 
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그림 6-3. 표준접근목록의 리용 

IP 속임수 ( spoofing ) 는 공격자가 어떤 먼 위치에 떨어 져 있으면서도 정보를 전송하는 
기관의 국부망의 한 체계인것처럼 가장하는것이다. 이것은 체계의 어떤 취약성을 악용하 
여 진행 할수 있 다. 실례 로 Microsoft Windows 는 랜 드 ( Land ) 라고 알려 진 공격 형 태 에 취 
약하다. 랜 드공격파케 트는 다음의 속성 들을 가진 다. 

원천 IP 공격되는 체계의 IP 주소 
목적지 IP 공격되 는 체 계의 IP 주소 

전송층 TCP 
원천포구 135 
목적지포구 135 
기발설정 SYN =1 

다른 포구들과 설정들이 리용될수 있으나 여기서는 일반적인 내용만을 주기로 한다. 
공격자는 체계가 자기자신과 대화하고 있는것처럼 생각하도록 속인다. 이것은 그 어떤 
경주조건을 만들어 내는데 결과적으로 체계는 정지되거나 차단된다. 

이렇게 생각할수 있다. 《문제가 없다. 나는 #어 오는 모든 요청들을 차단하려고 
한다. 그렇 게 하면 이 파케 트는 SYN 기 발이 1로 설정되 여 있기 때 문에 결코 통과하지 못 
할것 이 다. 多 

그렇지 않다. 원천주소를 보라. 경로기가 이 파케트를 평가할 때 그것은 분명 그 파 
케트가 내부망으로부터 수신되였다고 생각할수 있다. 

Cisco 경로기들은 이 문제를 가지고 있지 않으나(그것들은 그 파케트와 그것이 수신 
된 대면부와의 결합을 유지 하고 있다.) 많은 경로기들은 문제가 있다. 만일 접근규칙 이 
《 내 부망으로부터 오는 포구135는 통과시 키시 오.》라고 되 여 있 다면 경 로기 는 그 자료파 
케트를 좋다고 보고 그 정보를 경로조종과정을 따라 통과시키는데 그러면 그것은 이씨네 
트토막을 따라 통과되게 된다. 
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그러면 어떻게 이 문제를 풀것인가? 내부부분망주소를 리용하여 인터네트로부터 오는 
합법적인 자료흐름을 결코 보지 못할것이므로 이러한 자료흐름들을 려과한다면 련결에서 
손실은 없을것이다. 이것을 속임수려과기 (spoofing filter ) 라고 부론다. 그것은 왜냐하면 기관 
의 망주소로 가장하려고 하는 자료흐름들은 통과하지 못하도록 담보하고 있기때문이다. 

다음과 갈은 규칙 을 가지 는 내 부 방향려과기 를 이써네 트포구에 배 치하는것 도 좋은 
생각이다. 《206. 121.73.0 부분망으로부터 오는 자료흐름만 허용하시오.》이것은 내부사 
용자들이 다른 망에 대한 속임수공격을 시도하지 못하도록 담보하는데 도움이 된다. 관 
리 자로서 자기 의 환경 을 보호할뿐아니 라 부주의 로 다른 사람의 생 활을 불행하게 만들지 
않도록 담보하는것도 하여 야 할 일감으로 된다. 

표준접 근목록을 리용하여 속임 수려 과기 를 만들수 있 다. 표준접 근목록의 항목에 대 한 
문법은 다음과 갈다. 

access-list {list # or name } permit/deny { source } { mask } 

그림 6-3 의 경로기에서 전체 구성방식에서 다음과 갈은 접근목록항목들을 만들수 
있 다. 

Access-list 1 deny 206.121.73.0 0.0.0.255 
Access-list 2 permit 206.121.73.0 0.0.0.255 

접근목록 1은 WAN 대면부에 대한 구성방식에 들어 가서 다음의 지령을 입력함으로 
써 적용된다. 

ip access-group 1 in 

마찬가지 로 접근목록 2는 이씨네트대면부에 대 한 구성 방식 에 들어 가서 다음의 지 령 
을 입 력하여 적 용한다. 

ip access-group 2 in 

마스크값이 좀 이상하다고 생각할수 있다. 이것은 이 값이 부분망마스크가 아니 
라 패 턴정 합이기때 문이 다. 패 런정 합은 하나의 검 사조건을 평 가할 때 다음의 규준을 
리 용한다. 

0: 정의된 주소에서 해당 byte 는 검사조건과 정확히 맞아야 한다. 

1: 이것은 예측할수 없는 문자이다. 이 byte 에서의 어떠한 값도 맞는것으로 
인정 한다. 

그러므로 이 실례에서 우리의 패런정합은 《 byte 값 206.121. 73을 포함하는 임의의 
IP 주소》라고 말하는것으로 된다. 첫 3 byte 가 원천 IP 주소와 맞는 한 접근목록검사조건은 
그것 을 맞는것 으로 인정한다. 

모든 망자료흐름을 맞도록 하기 위 해서 는 다음의 주소와 마스크를 리용한다. 

0.0.0.0 255.255.255.255 

이것은 Cisco 경로기에서 모든 자료흐름이 다 정합되는것으로 간주된다고 말하는것으 
로 된다. 자기의 접근규칙들을 쓸 때이 주소와 마스크는 단어《임의의 ( any )》 에 의하 
여 교체될수 있다. 이것은 표준접근목록에 대해서는 그리 유용하지 못하지만(만일 어떤 
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자료흐름도 받아 들이기를 원치 않는다면 간단히 접속구를 뽑는것이 더 쉬울것 이 다.) 이 
제 다음절 에 서 확장접 근목록을 론의할 때에는 여러모로 쓸모가 있 을것 이 다. 


접근목록패턴정합 

패런정합값을《반부분망마스크》로 생각한다면 그것은 아주 잘 리해한 !이라고 
볼수 있다. 패런정합은 항상 부분망마스크에 리용된것과 정확히 반대값이다. 이것은 
완전부분망류형 들을 려 과하고 있 다면 리 해 하기 매우 쉽지 만 실 제 적 인 부분망1 을 가지 
고 일하고 있다면 좀 혼돈이 생길수 있다. 

실례로 완전한 류형 c 망대신에 이 류형 c 주소공간의 한 부분만을 리용동 고 있다 
고 하자. 망주소는 206.121.73. 64이고 부분망마스크는 255.255.255. 224라고 y 정 하자. 
이 경 우에 패 런정 합을 위하여 무엇 을 리 용하여 자기 의 망공간에 서 만 려 과하 I 있 다는 
것을 담보하겠는가구 

모든 TCP / IP 주소공간은 사실상 2진수체 계 를 리용하여 만들어 진다. 그럼 지 만 편 
리 상 현재 10진수를 리 용하여 표시 하고 있 다. 자기 가 리용할 패 런정 합을 결정 하기 위 
하여 먼저 부분망마스크의 마지막 byte 를 2진수로 변환하여야 한다. 

224 = 128 + 64 + 32= 11100000 

마지 막 byte 에 서 3 bit 는 망을 위 하여 사용하고 다섯 비 트는 매 호스트를 일 1 적 으로 
식 별 하는데 사용하고 있 다. 망에 서 어 떤 호스트를 무시 하기 위하여 모든 호스 I 비 트들 
을 1로 설정하는 패 런정 합을 리 용한다. 

00011111 = 16 + 8+4 + 2 + 1 = 31 

그러 므로 새 로운 망주소와 부분망마스크를 적 응시 키 기 위하여 다음의것진 로 접 근 
을 변경시켜야 한다. 

Access-list 1 deny 206.121.73.64 0.0.0.31 

Access-list 2 permit 206.121.73.64 0.0.0.31 

결국 자기의 접근목록에 다음과 같이 말하는것으로 된다. 《주스 공간값 
206.121.73.64-206.121.73.95(64+31) 을 볼 때 그 파케트를 려과하시오.》이쪽 게 하면 
필요한것 이상을 려과하거나 허용함이 없이 이 류형 C 주소공간의 작은 부분선별할 
수 있다. 


속임 수규칙 들을 제 외 하고 또 무엇때 문에 표준접 근목록을 리용하는가? 표준접 근목록 
은 어 떤 달갑지 않은 원격싸이트로부터 의 접 근을 막는데 매우 효과적 이 다. 이 것은 공격 
자일수도 있 고 스팸우편물제 공자일수도 있 으며 또는 경 쟁 자일수도 있 다. 

인 터네 트에 련결하였 다고 하여 모든 원천 으로부터 오는 자료들을 다 받아야 한다는 
요구는 없 다. 모든 자료흐름을 다 받아 들이는것 이 고상한 행 동으로 간주될수 있으나 그 
것이 항상 기업의 견지에서 좋은것은 아니다. 

실례 로 스팸싸이트를 식 별하기 위한 전용자원을 가지 고 있는 우편목록과 기 관들이 
있다. 스팽 또는 불필요한 광고전자우편은 좋게 보아서 자원의 랑비이며 나쁘게는 봉사 
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거부를 초래할수 있다. 많은 관리자들은 지금 스팸을 지원(또는 적어도 그것을 막는데 
실패)한다고 알려 진 싸이트들로부터의 자료흐름을 려과하고 있다. 나가는 스팽우편을 
조종하지 못하는 싸이트는 망에 대한 다른 형태의 공격도 막지 못하므로 그것의 모든 자 
료흐름은 려과된다. 


일러두기 

Cisco 대면부는 포구당，방향당 하나의 접근목록만을 허용할수 있다. 이것은 확장접 
근목록을 필 요로 하지 않을 때 표준접 근목록을 적 용하여 야 한다는것 을 의 미한다. 
만일 확장접근목록의 좋은 유연성 이 필요하다면 간단히 자기의 려과기를 하나의 목 
록에 련결시키는것이 좋다. 


정적확장접근목록 

확장접근목록은 표준접근목록보다 한걸음 더 전진한 개념을 사용한다. 원천 IP 주소우 
에서 간단히 려과할 대신에 확장접근목록은 다음의 내용들에 따라 려과할수 있다. 

• 목적 지 IP 주소 

• 전송층 ( IP , TCP , UDP , ICMP , GRE , TGRP ) 

• 목적지포구번호 

• 파케트형식 또는 ICMP 의 경우에 코드 

• 설 정 된 련결 (ACK 또는 RST 비 트가 설 정 되 였 는가를 검 사) 

명백히 이것은 주위의 자료흐름들에 대한 보다 세밀한 조종준위를 부여할수 있다. 
확장접근목록은 전체 구성 방식에서 다음의 문법으로 만들어 진다. 

Access-list {list t or name } permit/deny { protocol } { source } 

{mask } { destination } { mask } { operator } { post } est (short for 
establish if applicable) 

연산자들은 다음과 같다. 

It : 보다 작다 
gt : 보다 크다 
eq : 같다 
neq : 같지 않다 

한가지 실 례 로서 호스트 206.121.73. 10우의 HTTP 에 로의 열 린 접 근을 허 용하고 
telnet 접근도 허용하지만 부분망 199.52.24.0 의 호스트로부터의 접근만을 허용하지 않는 
확장접근규칙들의 모임을 만들려고 한다고 하자. 이 규칙들은 다음의것과 류사하게 볼수 
있 다. 

access-list 101 permit any 206.121.73. 10 0.0.0.0 eq 80 
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access-list 101 permit 199.52.24.0 0.0.0.255 206.121.73.10 0.0.0.0 eq 23 

다음에 그 대면부에 대한 구성방식에 들어 가서 다음의 지령을 입력함으로써 이 규 
칙들을 직 렬 포구에 설 치할수 있 다. 
ip access-group 101 in 

FTP 오ᅡ 관련한 문제들 

제3장에서 FTP 에 대 하여 본바와 같이 이 규약은 방화벽을 통하여 지원하기 가 매우 
어 렵 다. 그것 은 이 규약이 파일 을 전송하는 동안 두개 의 포구를 리용하기 때 문이 다. 간단 
히 다시 고찰해 보자. 

표준 FTP 1023우의 모든 들어 오는 봉사포구는 자료련결을 지원하기 위해 열려 
져 있어 야 한다. 

피동 FTP 1023우의 모든 나가는 봉사포구는 자료련결 을 지 원 하기 위해 열 려 져 
있어 야 한다. 

두개의 나쁜것중 작은것을 택한다는 의미에서 보통 피동 FTP 만을 지원하는것이 더 
좋다. 이것은 모든 Web 열 람기들과 대부분의 도형식 FTP 프로그람들에서 지 원된다. 명 령 
행식 FTP 프로그람들에서는 대체 로 지 원되지 않는다. 

피동 FTP 를 지 원하기 위 하여서 는 모든 내부호스트들에 인터네 트를 위한 체계의 1023 
우의 임의의 TCP 포구들에 접근하는것을 허용하여야 한다. 그것은 가장 좋은 보안자세는 
아니지만 표준 FTP 보다는 좋다. 

기관이 막으려고 하는 특정의 봉사들이 있다면 모든 나가는 포구들을 열어 놓는 항 
목앞에 이 접근목록항목을 만들어야 한다. 규칙들은 순서대로 처리되므로 거부규칙들이 
먼저 처리되고 그 자료흐름을 차단한다. 

실례로 XII 과 Open Windows 봉사기에로의 접근은 막으려고 하고 피동 FTP 리용을 위 
하여 나머지 웃포구들은 열어 놓으러 한다고 하자. 이 경우에 다음과 같은 규칙들을 만 
들면 된다. 

access - list 101 deny any any eq 2001 
access-list 101 deny any any eq 2002 
access-list 101 deny any any eq 6001 
access-list 101 deny any any eq 6002 
access - list 101 permit any any gt 1023 

여기서 한가지 문제는 의뢰기가 포구 2001，2002, 6001 또는 6002를 리용하려고 시 
도하였을 때 우연적인 FTP 파일전송오유를 수신하게 된다는것이다. 이 오유는 흔히 일어 
나지는 않지만 발생한다면 처 리하기 어렵 다. 
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접근목록모임들 만들기 

이 모든것이 어떻게 협력하여 일해 나가는가를 보기 위하여 한가지 실례를 고찰하자. 
그림 6-4 와 같은 망구성을 가지고 있다고 가정 하자. Web 봉사기 에는 HTTP 를 허 가하고 
우편봉사기에는 SMTP 접근을 허용하려고 한다. 우편봉사기는 국부 DNS 과정도 돌린다. 
또한 모든 TCP 봉사에로의 제 한없이 나가는 접근을 제공하려고 한다. 


인터네료 


•기 



Web 봉사기 SMTP/DNS 

그림 6-4. 간단한 망에 서 접 근목록리용 


접근목록규칙들은 다음과 같이 나타날것이다. 감탄부호 (!) 토 시작하는 행들은 Cisco 
IOS 에서 설명으로 간주된다. 

!stop any inbound spoofing 

accessOlist 1 deny 206， 121.73.0 0.0.0.255 

! Let in replies to established connection 

access-list 101 permittcpany 206. 121. 73.0 0.0.0.0.255 gt 1023 est 

! Look for port scanning 

access-list 101 deny tcp any any eq 19 log 

! Alio in SMTP mail to the mail server 

access-list 101 permit tcp any 206.121. 73.21 0.0.0.0 eq 25 

! Allow in DNS traffic 

access-list 101 permit tcp any 206.121. 73.21 0.0.0.0 eq 53 
access-list 101 permit udp any 206.121. 73.21 0.0.0.0 eq 53 
! Allow in HTTP to the Web server 

access-list 101 permit tcp any 206.121. 73.20 0.0.0.0 eq 80 
188 












! Let in replies if an internal user pings an external host 
access - list 101 permit icmp any any echo - reply 
! Allow for flow control 

acces-list 101 permit icmp any any source—quench 
! Let in replies if an internal user runs traceroute 
access-list 101 permit icmp any any time-exceeded 
! Insure that our internal users do not spoof 
access-list 2 permit 206. 121. 73.20 0.0.0.0.255 
! Let out replies from the web server 

access-list 102 permit tcp 206. 121，73， 0.0.0.0 any gt 1023 est 
!Let out replies from the mail/DNS server 

acces-list 102 permit tcp 206.121.73.21 0.0.0.0 any gt 1023 est 

! Let out DNS traffic from the DNS server 

access-list 102 permit udp 206.121.73.21 0.0.0.0 any eq 53 

! Block all other UDP traffic except for DNS permitted above 

access-list 102 deny udp 206.121.73.0.0.0.0.255 any 

! Allow a single host to create Telnet sessions to the router 

acces-list 102 permit tcp 206.121.73.200 0.0.0.0.206.121.73.1 0.0.0.0 eq 23 

! Block all oter hosts from creationg Telnet sessions 

! to the router 

access-list 102 deny tcp any 206.121.73.1 0.0.0.0 eq 23 
! Allow all TCP traffic through 

access-list 102 permit ip 206. 121.73.0 0.0.0. 255 any 

이것이 전체 구성방식에서 입력되였다면 먼저 직렬대면부를 위한 구성방식에 가서 
다음의 지령들을 입력한다. 

ip access-group 1 in 
ip access-group 101 in 

다음에 이씨네트대면부를 위한 구성 방식 에 가서 다음의 지 령을 입 력한다. 

ip access-group 2 in 
ip access-group 102 in 

이것들을 끝내면 접근목록은 동작상태로 되고 경로기는 자료흐름을 려과하기 시작하 
여야 한다. 이때 자기의 구성을 즉시 검사하고 모든것이 기대되는대로 동작하고 있는가 
를 확인하여 야 한다. 
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표본접근목록에 대한 몇가지 설명 

세번째 접근목록의 이름은《포구주사찾기》이다. 이것은 특정의 포구를 j •록하여 
모든 활동들이 조종탁말단에 연시되도록 함으로써 수행된다. 언급된바와 같。경로기 
는 보통 매우 약한 등록능력을 가진다. 일반적으로 너무 많은 정보를 등록하 7 를 원치 
않는다. 너무 많으면 그것을 붙잡기전에 화면에서 흘러 지 나가고 말것 이 다. 卜격자가 
검사하리 라고 생각하는 하나의 포구를 감시 함으로써 (포구 19는 문자발생 기인더 이것은 
몇가지 취 약점들을 가지고 있다.) 너무 많은 정보를 등록하는것과 수상한 자 L 흐름을 
포착하는것사이의 균형을 깨뜨릴수 있다. 

행 12와 13은 나가는 응답들을 Web 와 우편봉사기 만으로 제 한하고 있다. 1것들은 
봉사를 제공하는 유일한 두 체계이므로 인터네트호스트에로 응답을 보내야 동는 유일 
한 두개 의 체 계 들이다. 행 14와 15는 UDP 자료흐름을 DNS 봉사기 만으로 제 한한다. 
UDP 는 믿음성이 없으므로 안전하지 못하다. 이 려과기들은 취약점들을 하나 5 체계에 
로 국한시킨다. 물론 이것은 모든 내부호스트들이 DNS 변환을 위하여 우편체겨 를 리용 
하려 고 할것 이 라는것 을 의 미한다. 

행 16과 17은 하나의 호스트만이 경로기 에로의 원격접속을 얻을수 있다는즈 을 규정 
하고 있 다. 이 것용 장치 의 보호를 앞으로 더 강화하는데 도움이 된 다. telnetl 리용하 
여 경 로기 를 관리 할 때 (경 로기 대 경 로기 간의 암호화는 가능으로 하지 않고) J _정 보 
는(통과암호를 포함하여) 평문으로 전송된다는것 을 기 억 하시 오. 이 려과기들은 어떤 사 
탐이 통과암호들을 손상시 킨다고 하여 도 그것들이 하나의 원격체 계 에서 쓸모 i 다는것 
을 담보한다(물론 공격자가 자기의 IP 주소를 날조하고 우리가 거기에 가지 않는 한). 

마지막으로 접근규칙들은 다음과 갈은 말로 끝난다. 《우리가 명백히 거냐 하지 않 
은 TCP 자료흐름은 내보내시오.》만일 려과하려고 하는 TCP 봉사들이 있다면 이 검사 
조건들을 이 마지막규칙의 앞에 넣어야 한다. 


일러두기 

변화된것들을 너무 인차 보관하지 말아야 한다. 동작중의 기억에서만 그 변화들의 
검 사를 진행하여 야 한다. 만일 부주의 로 장치 를 잠그었 다면 마지 막에 보관된 구성 
에 로 돌아 가기 위해 전원을 끌수밖에 없다. 새 로운 구성 에 대 해서 는 그 변화가 허 
용가능하다는것을 확인하고 보관하여야 한다. 


임의 의 보안방책 에도 례외 가 있을수 있으며 동적접 근목록은 바로 그 필요성의 반영 
이다. 이른바《자물쇠-열쇠》라고도 부르는데 이 특징은 동적 확장접근목록을 만든다. 
그러 나 그것 은 표준 및 정 적확장접 근목록과 함께 리 용될 수도 있다. 

자물쇠-열쇠가 기동되면 그것은 주어 진 대면부가 지정된 사용자에게 주어 진 자원 
에 접 근을 허 용하게 하도록 현존접 근목록을 변화시 킨 다. 그리 고 접 근목록을 다시 변경시 
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켜 이전의 상태에로 복귀시 킨다. 

자물쇠-열쇠는 전통적 인 표준 및 정적 확장접 근목록에 비 하여 리 익을 제 공한다. 

• 사용자는 질문구조를 통하여 인증된다. 

• 큰 망에서 자물쇠-열쇠는 간단한 고리 방법을 제공한다. 

• 접 근목록의 경로기 처리는 감소된 다 . 

• 경로기기반구조에서 보다 적은 열기가 진행된다. 

자물쇠-열쇠가 어떻게 동작하는가를 다음의 실례로 본다. 

1. 휴가중인 관리자가 원격으로 망에 련결하여 고장수리를 하여 야 한다고 하자. 
관리자는 경로기에 telnet 대화를 연다. 

2. 경 로기 는 사용자인증과정 을 수행한다(그자체 에 의하여 또는 TACACS + 또는 
RADIUS 와 같은 개별적인 보안체계들을 통하여). 

3. 인증이 성 과적 으로 되 면 관리 자는 telnet 대 화에 가입 되 고 경 로기 는 동적 접 근 
목록에 하나의 림 시항목을 만든다. 

4. 관리자는 지금 내부망에 접근권을 가지고 있으며 요구되는 변화를 첨가할수 
있 다. 

5. 일단 끝나면 관리자는 하나의 새로운 telnet 대화를 시작하고 수동으로 림사 
항목을 지운다. 관리자는 그 항목에 대하여 정지 또는 절대시간초과값을 
지 정할수 있다. 이 경 우에 경 로기 는 자동적 으로 시 간완료후에 그 항목을 
지운다. 

실례 로 다음의 코드를 고찰하자. 그것은 동적접근목록을 구성 하기 위한 지 령 으로 시 
작된 다. 


access-list { access - list - number } dynamic { dynamic - name } {deny or 
permit } telnet { source } { source - wildcard } { destination } { destination - 
wildcard } precedence { precedence } tos { tos } established log 


실천에서 관리방책은 수동으로 그 항목을 지우는것 이지 만 시 간초과값설정은 잠재적 
인 보안구멍을 메우는 쉽게 구성가능한 보증방법 이 라고 말할수 있다. 

속임수 ( spoofing ) 

자물쇠-열쇠에 의하여 만들어 진 동적접근목록의 림시항목은 그 경로기 가 속임수를 
겪게 만들수 있다. 이 위협 에 대항하는 한가지 방법은 그 경로기와 원격호스트에 봉사 
하는 원격경 로기 에 서 암호화를 사용하는것 이 다. 암호화된 련결을 가지 면 호스트 IP 주소 
들은 잠재적 인 해커로부터 암호화된 자료흐름속에 숨게 되며 따라서 속임수에 넘어 가 
지 않는다. 
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반사적접근목록 


IOS 11. 3부터 Cisco 경로기들은 반사적접근목록을 지원한다. 반사적접근목록은 정적 
establish 지 령 을 위 한 하나의 교체 인것 으로 만들어 졌 다. 반사적 접 근목록이 리 용될 때 경 
토기 는 모든 동작중의 대 화들에 대 한 동적 상태표를 만든다. 

상태표를 만드는 능력 으로 하여 Cisco 경 로기 들은 실제 적 인 방화벽 의 범 주에 로 접 근 
하고 있 다. 상태 를 감시 하는것 에 의하여 경 로기 는 정 적 려 과만을 지 원하는 등가적 인 장치 
들보다 려과결정을 하는데서 훨씬 더 좋은 위치에 있는것으로 된다. 

반사적접 근목록을 리용하기 위 하여서 는 대 역식 별자번호가 아니 라 접 근목록이 름을 
리용하여 야 한다. 이것은 큰 일 이 아니며 이름을 리용하는것은 보다 더 서술적 이고 편 
리 하다. 

반사적 접 근목록을 만들기 위한 문법 은 다음과 같다. 


permit { protocol } { source } { mask } { destination } { mask } reflect 
{ name } 


다음의 파라메터 들을 리용하여 반사적접 근목록을 만들수 있 다. 
permit ip any any reflect ipfilter 

SMTP 에서 하나의 내부호스트 그리고 내부망의 어떤 체계가 설정한 대화에 대한 응 
답들만을 허용하려고 한다고 가정하자. 이 환경에서 전체 구성 방식에서 다음의것을 만들 
수 있다. 


ip access-list extended inboundfilters 
permit tcp any 206.121.73.21 0.0.0.0 eq 25 
evaluate tcptraffic 

이것은 동작중의 대화에로 들어 가는 응답들과 들어 가는 SMTP 대화들이 설정되게 
한다. 

반사적접근목록과 관련한 한가지 제기되는것은 정지하여 300 s 후에 항목들이 표로부 
터 지 워 진다는것 이 다. 이 것 은 대 부분의 규약들에 서 문제 가 아니 지 만 FTP 조종대 화(포구 
21) 는 파일전송동안에 오랜 시간동안 정지되여 있을수 있다. 이 시간한계값을 다음의 지 
령으로 증가시 킬수 있다. 

ip reflexive-list timeout {timeout in seconds } 


TCP 차단 

DoS (봉사거부)공격은 최근에 매우 류행되였다. 이 공격을 실현하는데 가장 널리 쓰 
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이 는 방법 은 SYN 범 람을 리용하는것 이 다. 공격 자는 짧은 시 간동안에 대 량의 련결요청 을 
시작함으로써 SYN 범 람을 만든다. 련결요청들이 정당한 주소들로부터 오지 않기때문에 
봉사기 는 련결 을 완성할수 없 다. 그 결 과로 봉사기 는 틀린 요청 들에 응답하려 는 시 도에 
매 여 달리게 되며 합법적 인 봉사요청들 (Web 나 FTP , 전자우편과 갈은)에 대 답할 자원들 
을 남기지 않게 된다. 

Cisco 의 TCP 차단장치는 모든 들어 오는 련결요청들에 대답함으로써 이 문제를 해결 
한다. 성공하면 그것은 그 봉사기와의 련결을 열고 두 련결을 실현한다. 만일 련결요청 
이 합법적인것이 아니라면 련결요청은 거절되고 하나의 턱값계수기가 증가된다. 이 계수 
기 가 한계값에 도달하면 이 주소로부터 의 모든 추가적 인 련 결 요청 들은 자동적 으로 거 절 
된 다. 

TCP 차단을 기동하기 

TCP 차단이 가능으로 되 기전에 확장접 근목록을 만들어 야 한다. 
access-list { access - list - number } {deny or permit } top { destination } 

다음에 TCP 차단을 기동하는 지 령을 입 력한다. 
ip top intercept list { access - list - number } 

TCP 차단은 두가지 방식 으로 동작한다. 즉 차단 또는 피 동적감시 이다. 기 정방식 은 
차단방식 이 다. TCP 차단장치 는 들어 오는 모든 SYN 들을 중재하여 SYN-ACK 로 응답한다. 
원격호스트로부터 하나의 ACK 를 받은후에 만 경 로기 는 원래 의 SYN 요청 을 봉사기 로 통 
과시켜 3통로 TCP 련결 신호를 완성하게 한다. 

마지막으로 경로기는 두 련결을 함께 결합시킨다. TCP 차단이 피동감시방식으로 구 
성된다면 경로기는 련결요청에 일정한 시간동안(기정은 30 s ) 에 응답이 있는 한 통신을 
차단하지 않는다. 피 동감시방식 은 다음의 지 령 으로 구성 된 다. 
ip top intercept mode {intercept or watch } 


문맥에 기초한 접근조종 

문맥 에 기 초한 접 근조종 ( CBAC ) 은 OSI 모형 의 응용층에 서의 정 보를 리용하여 TCP 
및 UDP 망자료흐름을 려과하며 경로기의 량쪽에서의 자료흐름을 분석 하고 허용한다. 응 
용자료를 볼수 있는 능력으로 하여 CBAC 는 여러개의 통로들을 여는 규약들 ( RPC , FTP 
그리 고 대 부분의 다매 체 규약들과 같은)과 Java 애 플리 트(압축되 지 않는 조건에 서 )를 위 한 
려 파를 허 용한다. 

CBAC 는 련결들을 동적 으로 열기 때 문에 (방화벽 안쪽으로부터 시 작된 대 화들에 자료 
를 제 한하면서 ) 그것 은 DoS 공격 에 대 한 방어 를 제 공한다. CBAC 는 또한 TCP 순서번호가 
기대되는 범위 안에 있는가를 확인하며 련결요청들이 비정상적으로 속도가 높아 지는것을 
감시하고 응답한다. 

응용프로그람에 기초한 등록과 경보는 CBAC 의 또 한가지 우점 이 다. 시 간도장，원 
천 및 목적 지주소들 그리 고 전송된 자료들을 추적하는것 에 의하여 CBAC 는 해 킹《 징 
후》에 대하여 망패턴을 정합하는데 충분한 정보를 중앙집중적 인 기록 및 관리체계에 넘 
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겨 주며 체계가 알려 진 침투 및 DoS 방법들에 대한 방어를 일부 자동화할수 있게 한다. 

CBAC 는 일반적 인 TCP 또는 UDP 대화를 평 가할수 있으며 또한 다음과 같은 널 리 
쓰이 는 응용층규약들도 분석할수 있 다. 

• FTP 

. TFTP 

• H . 323 (Microsoft NetMeeting 에 쓰는 규약) 

• HTTP (Java 애 플리 트 포함) 

• Microsoft Netshow 

• rexec , rsh , rlogin 

• Real Media 

• RTSP (실시간흐름규약) 

• SMTP 

CBAC 실례 

표본 FTP 대 화를 리용하여 CBAC 과정 을 상세 히 고찰하자. 

1. 경로기의 외부대면부가 망의 내부(안전한)쪽에서 시작한 파케트를 받는다. 

2. 경 로기 는 외부대 면부에 정의된 나가는 접 근목록을 리용하여 그 파케 트가 허 
용될것 인가를 결정한다. 허 용되 지 않는 파케 트는 자동적 으로 거 절된다. 

3. 만일 파케 트가 허 용된 다면 CBAC 는 하나의 새 로운 련결상태표를 만들고 파 
케트의 정보를 거기에 넣는다. 

4. 다음에 CBAC 는 외부대면부에 들어 오는 접근목록을 림시로 변경시켜 내부 
망에로 들어 오는 대화자료를 허용한다(나가는 파케트로부터 취해 진것과 
갈은 상태자료와 련결 상태표에 저 장된것 을 정 합하는 파케트) . 접 근목록이 
변경된후에야 CBAC 는 외부대면부로부터 나가는 파케트를 전송한다. 

5. 자료가 외부대면부로 돌아 올 때 모든 파케트들은 들어 오는 접근목록과 비 
교된 다. 만일 정 당한 련결 자료가 CBAC 에 의하여 접 근조종목록에 만들어 진 
림 시변화와 정 합된 다면 이 파케 트들은 내 부망에 전송되 고 련결 은 끝난다. 

6. 련 결 이 끝날 때 (또는 시 간초과된 다면 ) CBAC 는 련 결 상태표와 접 근조종목록 
에서의 림 시변화를 제거 하고 경 로기 를 이 전의 상태 에 로 귀 환한다. 


CBAC 를 구성하기 

CBAC 를 구성하는데는 여 러단계 가 필 요하다. 

1. 대 면부를 선택한다. DMZ (비 무장지 대 )를 가진 망들에 대 하여 내 부대 면부에 
대한 평가가 진행된다. 간단한 망에 대하여서는 파케트들이 외부대면부에서 
선별된다. 

2. IP 접근목록을 만든다. 하나의 기초적 인 접근목록을 만든후에 모든 CBAC 평 
가된 자료흐름은 허용되지만 모든 들어 오는 CBAC 자료흐름은 거부된다 
( CBAC 는 이 규칙들에 자기의 동적 및 림시적례외들을 만든다.). 
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3. 시 간한계 와 턱 값들을 설정한다. 이 설정 들은 련결상태표가 얼 마나 오래 유지 
되며 불완전한 련결 이 끝날 때 까지 얼마나 오래 기 다릴것 인가를 결정한다. 이 
것은 DoS 공격 에 대 한 방어 를 제 공한다. 이 마지 막 특징 을 기동시 키 기 위해서 
는 조종탁에 서 다음의 지 령 을 입 력 시 킨다. 

ip inspect top synwait _ time { second } 

4. 검사규칙을 만든다. 이것은 어떤 응용층규약이 대면부에서 평가될것인가를 
결정한다. 선택 가능으로는 경 보，조사 그리 고 규칙 이 IP 토막화를 검 사하는 
가 하는것 이 있다. 이 실례 는 하나의 FTP 검사규칙 을 설정한다. 

ip inspect name ftprule ftp alert on audit-trail on timeout 30 

5. 검 사규칙 을 적 용한다. 이 규칙 은 나가는 자료흐름이 외 부대 면부에 설정되 였 
다면 그것에 적용되고 들어 오는 자료흐름이 내부대면부에 설정되였다면 그 
것에 적용된다. 우리의 실례를 계속하면 

ip inspect ftprule out 

6. 등록을 설정한다. 이것은 권한 없는 접근시도들을 결정하며 또한 합법 적 인 
자료흐름과 봉사들에 대 한 기 록을 만든다. 전체 대 역조사는 다음과 같은 기 
능으로 된다. 

ip inspect audit - trail 

방화벽침입검출체계 

Cisco 의 침 입 검 출체 계 ( IDS ) 는 59개 의 공격 징 후들을 리 용하여 해 킹 시 도들을 인식 하고 
반응한다. IDS 는 침해가 발생하기전에 공격을 인식하고 기록하며 반응하도록 설계되였 
다. IDS 징후를 두 류형으로 갈라 볼수 있다. 즉 정보와 공격 이 다. 

정 보징 후는 망에 대 하여 정 보를 수집하려 는 시 도들 (포구주사와 갈은)을 찾는다. 이 
두 류형들의 매개는 또 원자징후와 합성징후로 갈라 진다. 원자징후는 특정의 포구에 대 
한 요청 과 갈은 작고 세 부적 인것 들을 찾는다. 합성징 후는 전체 적 인 패 턴을 찾는다. 


IDS 과정 

IDS 체계는 다음과 같이 동작한다. 

조사규칙을 만든다 임의의 수의 징후(하나로부터 모두)들이 하나의 규칙과 관련 
된 다. 

조사규칙이 적용된다 규칙 이 들어 오는 자료흐름에 적용될 때 IDS 는 ACL 이 하기 
전에 그것들을 평 가할 기회 를 가지 며 그것 에 의하여 보통의 ACL 거 부에 
의해서는 제거되지 않는 공격의 세부들을 제공한다. 

파케트들을 검사한다 여 러 모둘들이 파케 트를 분석하는데 IP 로부터 시 작하여 
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ICMP , TCP 또는 UDP 에 로 옮겨 가서 응용층에서 끝난다. 

징후를 맞추어 본다 하나의 파케트가 그 모형의 어느 부분에서 한 징후와 일치한 
다면 그것에 대하여 다음의 적당한 작용이 가해 진다. 

• 경보: 중앙감시체계에 경보를 보낸다. 

• 제거: 그 파케트는 전송되지 않는다. 

• 재 설정 : 그 파케 트의 재 설정기 발을 설정한다. 이 파케 트는 다음에 그 련결의 

매측에 보낸 다. 


IDS 를 구성하기 

IDS 를 구성 하기 위한 절 차는 다음과 갈다. 

• IDS 를 기동한다. 

• 우편국을 기동한다. 

• 조사규칙을 만들고 기동한다. 

IDS 를 기동하기 IDS 를 기동하려면 전체 구성방식의 조종탁에서 두개의 지령을 입력 
하여 야 한다. 

첫번째 지령은 검사를 설정한다. 

ip audit { protocol } { signature } { options } 

두번째 지 령 에서는 특정의 징 후를 정 합하는데서 몇개의 보관된 사건들을 IDS 관리 자 
(IDS 를 위 한 중앙경 계 감시 체 계 ) 에 게 보낼 것 인 가 하는 한계 를 설정 한다. 

ip audit po max-events {quantity of events } 

우편국을 기동하기 우편국은 IDS 중앙관리체계와 IDS 호스트들 (IDS 특징 을 가지 고 구성 
된 경 로기 들)사이의 점대점련결을 만드는 Cisco 의 전용규약이 다. 경 보들은 우편국을 따 
라 등록파일 또는 IDS 관리자에게로 전송된다. 

ip audit notify nr - director/log 

모든 호스트들은 1과 65535사이의 한 번호를 배당 받는다(호스트식별자: Host - id ). 
관리 자에게 는 모든 IDS 경 로기 들과 함께 1부터 65535사이 의 공통적 인 기 관의 번호가 배 
당된다(기관식별자: org - id ). 

ip audit po local hostid { host - id } orgid { org - id } 

관리 자를 위한 우편국파라메 터들이 설정되여 야 하는데 그것들은 다음과 같다. 

rmtaddress 관리 자의 IP 주소 
localaddress 호스트대면부의 IP 주소 

port 기정 값 45000, 이 것은 관리 자가 경 보를 듣는 포구번호이다. 

Preference 만일 관리자에로 가는 하나이상의 경로가 구성되 여 있다면 이 
수 (1 또는 2) 는 이 특정 련결 에 대 한 우선권을 결정한다. 
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Timeout 우편국이 하나의 련결을 결정 할 때까지의 시 간한계(초단위 로) 
application 어떤 형식의 체계가 사건들을 조종하고 있는가(등록파일 또는 
관리자)? 

ip audit po remote hostid { host - id } orgid { org - id } rmtaddress 

{ ipaddress } localaddress { ipaddress } port { port - number } preference { number } 
timeout { seconds } application { type } 

검사규칙을 만들고 기동하기 첫 두 지 령은 파케트들이 어떤 정 보징 후 또는 공격징 후 
와 일 치 할 때 어 떤 기 정 의 작용이 발생 하는가를 결 정 한다 (경 보，제 거 또는 재 설 정 ) . 

ip audit info alarm / drop/reset 
ip audit attack alarm / drop/reset 

일단 기정의 작용이 규정되면 사용자가 제공한 검사이름(이것은 그 규칙에 징후들을 
배 당한후에 사용된 다. ) 이 징 후형 식 (정 보 또는 공격 ) ，표준 ACL 그리 고 작용 (경 보, 제 거， 
재설정)과 함께 특정의 규칙에 배당된다. 

ip audit name { audit - name } info/attack list {standard ACL } action 



일단 정의되면 규칙은 방향(안으로 또는 밖으로)에 따라 대면부에 적용된다. 이 지 
령은 대면부방식에서 리용된다. 

ip audit { audit - name } in/out 

마지막으로 보호하려는 망의 IP 주소가 구성된다(전체 구성방식에서). 
ip audit po protected {ip address } 


인증대리자 

Cisco 의 인증대리자는 보안방책을 사용자특징과 결합시켜 개인들이 어떻게 망자원에 
접근할것 인가를 조종할수 있게 한다. 사용자특징은 그가 자료전송에 적극적으로 종사하 
고 있을 때에만 RADIUS 또는 TACACS + 봉사기로부터 온다. Cisco 는 인증대리자를 NAT , 
CBAC , VPN 그리고 IPSec 와 같은 다른 보안봉사들과 통합하였는데 이렇게 함으로써 
모든 접근조종방책들의 일치한 통합을 달성 하고 있다. 

인증대 리자는 사용자의 HTTP 요청을 가로 채는 방법으로 동작한다. 만일 사용자가 
이미 인증되였다면 대리자는 그 파케트를 전송한다(그리고 같은 련결에서 오는 련속적 인 
파케트들도 통과시킨다.). 만일 인증대리자가 그것들이 권한이 없는것으로 결정한다면 
그 경 로기의 HTTP 봉사기는 사용자에게 사용자이름과 통과암호를 요구한다. 만일 사용자 
가 다섯번 시 도해 도 정 확한 정 보를 제 공하지 못한다면 대 리 자는 2 min 동안 응답을 멈 춘 
다 (가입 거부). 

인증대 리 자가 사용자가 정 당한 사용자이 름과 통과암호를 제 공하였 다고 결정하면 그 
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것은 AAA 봉사기로부터 사용자특징을 엄는것으로 된다. 이 특징에 기초하여 인증대 리자 
는 안쪽 및 바깥쪽 대 면부의 ACL 에 련 결 을 완성하는데 필 요한 동적항목을 만든다. 만일 
그 사용자가 시 간한계안에 서 그 련결 을 계 속 리 용한다면 그에 게 자격 을 다시 입 력하도록 
요구하지 않는다. 인증대 리 자는 시 간한계 가 지난뒤 에 동적 ACL 변화들을 제 거한다. 

인증대리자를 구성하기 

인증대 리 자를 구성 하는데 는 3 가지 단계 가 필 요하다. 

• AAA 를 구성 

• HTTP 봉사기를 구성 

• 응용대 리 자를 구성 

AAA 를 구성하기 다음의 지령은 경로기에게 AAA 를 가능하게 한다. 
aaa new-model 

다음의 두 지 령은 가입등록 (RADIUS 또는 mCACS+) 에서 사용자에게 기정 으로 어 
느 인증봉사가 제 공되 는가를 정 의하여 그 봉사들을 허 용한다. 

aaa authentication login default RADIUS/TACACS+ 

aaa authentication auth — proxy default {1st method} {2nd method} ••- 

RADIUS 또는 TACACS+ 를 지 정 하기 위 하여 다음지 령 을 사용한다. 


radius/tacacs - server server host {hostname} 

경 로기 와 봉사기 사이에 암호화와 인중을 위하여 리용되 는 봉사열쇠 를 지 정 하기 위하 
여서는 다음의 지령을 사용한다. 

raduys/tacacs-server key {key} 

마지막으로 ACL 은 인증봉사기 로부터 돌아 가는 자료흐름을 허용한다. 
access-list {number of access list} 
permit tcp host {source} eq {tacacs} host {destination} 

HTTP 봉사기를 구성하기 이 지령들은 전체 구성방식에서 넣는다. 첫번째 지령은 경 
로기에서 HTTP 봉사기를 가능으로 한다. 
ip http server 

두번째 지 령은 AAA 를 인증방식 으로 설정한다. 
ip http authentication aaa 

세 번째 와 마지 막지 령 은 어 느 접 근목록이 HTTP 봉사기 에 속하는가를 규정한다. 
ip http access-class {number of access list} 

인증대리자를 구성하기 마지막으로 인증대리자자신이 구성된다. 첫 지령은 시간한계 
를 설정 하고 그후에 인증대 리 자는 ACL 에 대 한 동적변화들(사용자인증항목들과 함께 )을 
제 거 한다. 

ip auth-proxy auth-cache-time {minutes} 

다음지령은 사실상 인증대 리자규칙을 만들고 그것을 HTTP 규약과 결합시킨다. 
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Ip auth-proxy name {rule name} http 

마지막지령은 패면부방식에서 넣은것인데 그 규칙을 대면부와 결합시킴으로써 그것 
을 기동한다. 

ip auth-proxy {rule name} 


응용프로그람넘기기 

Cisco 는 포구 대 응용프로그람넘 기 기 (PAM) 를 리 용하여 회 사나 기 간들이 비 표준(비 
등록) TCP 및 UDP 포구들에서의 CBAC 려과방책들을 만들수 있게 한다. PAM 은 이것을 
응용프로그람을 특정포구와 련결시키 는 하나의 표를 만드는 방법 으로 실 행한다. 표준 
ACL 들을 리용하여 PAM 은 전체 부분망 또는 하나의 호스트에 적 용될 수 있 다. PAM 표의 
항목들에는 3 가지 형태가 있다. 

체계정의 이 항목들은 편집하거나 지울수 없으며 등록된(또는 잘 알려 진) 포구 대 
응용프로그람넘기기들 (TCP 21=FTP 와 같은)로 이루어 진다. 

사용자 정의 이것은 포구 대 응용프로그람넘기기의 고객항목들인데 응용프로그람 
이 잘 알려 진 포구에 대응될수 없다는 제한성을 가전다(즉 HTTP 는 TCP 
21 에 대응될수 없다. 이것은 이미 체계정의된 항목에 의하여 FTP 에 지정 
되여 있다.). 

호스트정의 이 선택항목은 IP 호스트나 또는 부분망들에 대하여 넘기기가 명확히 
만들어 지도록 한다. 이것은 내부부분망으로부터 Web 봉사기의 고객(그러 
므로 숨은) 포구에 로 가는 HTTP 자료흐름만을 허 용하는것 에 의하여 보충적 
인 보안을 만든다. 호스트정의항목은 체 계정의넘기기를 무시할수 있는 유 
일한 방도이다. 


PAM 를 구성하기 

PAM 은 경로기에서 응용프로그람이름과 포구번호 그리고 PAM 을 표준 ACL 과 결합하 
는 선택 항목(부분망 또는 호스트에 하나의 넘기 기 를 적 용하기 위하여)을 지정 함으로써 
가동으로 된다. 

ip port-map {application name} port {port number} list {ACL number} 

이전의 한가지 지 령의 변종을 리용하여 넘 기 기를 지운다. 
no ip port-map {application name} prot {port number} list {ACL number} 

표준포구 대 응용프로그람넘기기를 무시하려면 두개의 지령이 필요한데 하나는 특정 
호스트에 적용되는 표준 ACL 을 만들고 하나는 포구넘기기무시를 만든다. 


access-list {ACL number} permit {IP address of host} 

ip port-map {application name} port {port number} list {ACL from access-list 
command} 
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망주소변환 


망주소변환 (NAT) 은 원래 IP 주소들을 보존하기 위한 기 술로서 착상한것 인데 인 터네 
트로부터 망 IP 주소들을 숨김으로써 망보안의 보충적 인 층을 제공한다. NAT 는 기관들이 
사설 IP 주소대 역 을 리용하면서 인터네 트와의 련결도 가질수 있게 해 준다. 

Cisco 는 다음의 술어들을 리용하여 NAT 개념들을 리해하게 하고 구성이 명백해 지도 
륵 하고 있다. 

내부국부주소 내부망의 호스트에 배당된 사설 IP 주소 

내부전역주소 내부국부주소(사설망의 호스트에 지정된)로부터 나가는 자료에 그 
것이 NAT 경로기를 통과할 때 배당되는 공개 IP 주소 

외부전역주소 호스트의 소유자에 의하여 배 당되 는 호스트 IP 주소(그리 고 정 당한 
공개 인 터 네 트주소) 

외부국부주소 바깥망의 호스트가 내 부망에 나타날 때 의 IP 주소. 외 부전 역주소는 
내부사설망에 숨겨 질수도 있다. 

NAT 를 수행하는 경 로기 는 기 관의 사설망과 공개인터네 트사이의 경 계 에서 동작한다. 
내부망의 한 호스트가 외부전역주소를 가지는 한 호스트(공개 Web 봉사기와 같은)에 련결을 
요청할 때 그것 은 NAT 경 로기 에 로 그 파케 트를 보낸 다. NAT 는 그 파케 트의 원 천 IP 주소(그 
호스트의 내부국부주소)를 어떤 외부전역주소(인터네트에 련결된 NAT 호스트)에 전송한다. 
인터네트호스트가 그 파케트를 돌려 보낼 때 그것은 자기의 외부전역주소를 원천주소로 지 
정한다. 그 파케 트가 NAT 에 도착하면 NAT 는 목적 지 외 부전역 주소를 해 당 호스트의 내 부국 
부주소로 바꾸고 그것을 내부호스트에 전송한다. NAT 는 이 과정을 그 대화기간 반복한다. 

정적주소변환 

NAT 는 정적 및 동적주소변환을 수행할수 있다. 정적변환은 하나의 내부국부주소를 
하나의 내 부전역주소와 련관시 킨다(이 것 은 내 부망에 서 나가는 어 떤 다른 대 화들과 공유 
되 지 않는다. ) . 정 적변환은 외 부전역주소가 내 부망의 한 호스트와 통신대화를 시 작할 
수있게 하며 지정된 내부국부주소는 비밀로 유지한다. 실례로 내부망에 위치한 하나 
의 Web 봉사기 를 가지 고 있 는데 아직 외 부전 역주소에 서 시 작되 는 HTTP 대 화를 받아야 
할 때 정 적주소변환을 리용한다. 

정 적주소변환을 구성하는 첫 단계 는 내 부국부주소를 내 부전역주소와 련관시키 는것 
이 다. 

ip nat inside source static 

마지 막 4 개의 지 령은 NAT 와의 관계 에서 내부 또는 외부에서의 사설 및 공개대 면부 
들을 정 의한다. 

interface {type} {number} 
ip nat inside 

interface {type} {number} 
ip nat outside 
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동적주소변환 

동적 주소변환은 내 부국부주소를 주소들의 어 떤 저 장소로부터 선택 된 내 부전역 주소와 
결합시킨다. 이것은 인터네트봉사를 위한 의뢰기로서 동작하는 내부망의 호스트에 대하 
여 가장 공통적인 구성이다. 이것은 또한 관리부담이 가장 적다. 

동적주소변환을 가능하게 하기 위한 처음 지령은 IP 주소들의 한 대역을 만든다(주소 
저장소). 

ip nat pool {name of pool } {starting IP address } {ending IP address } 

다음에 어 느 내 부국부주소가 변환되 게 되 는가를 정 의하는 하나의 ACL 이 만들어 
전다. 

access list {access list number } permit { source } 

동적주소변환은 이전의 지령에서 만들어 진 접근목록을 지정하여도 가능하다. 

ip nat inside source list {access list number } pool {name of pool } 

마지막 4 개의 지령은 NAT 에 관하여 내부 또는 외부의 사설 및 공개대면부들을 정 
의 한다. 

interface { type } { number } 
ip nat inside 

interface { type } { number } 
ip nat ourside 


사용자인증과 권한부여 

Cisco 경로기들은 망자원의 접근(경로기자체에로의 접근도 포함하여) 에서 사용자인 
증과 권한부여 를 리용한다. 인증은 사용자의 신분을 확인하는 과정 이 다. 권한부여 는 보 
통 인증의 바로 뒤에 오는것인데 사용자가 자원에 접근하는데 필요한 허가권을 가지고 
있 다는것 을 확인한다. 두 경 우에 개 별적 인 보안봉사들이 공통적 으로 리용된다 ( RADIUS , 
Kerberos , TACACS 와 TACACS +). 

경 로기 에서 인증 및 권한부여봉사를 가능하게 하는데는 3가지 단계 가 있다. 

• AAA 를 기동한다. 

• 인증을 기동한다. 

• 권한부여를 기동한다. 

AAA 를 기동하기 

경로기에서 AAA 를 기동하는것은 매우 간단하다. 그러 나 TACACS 와 TACACS + 는 
낡은 규약들이고 AAA 와는 호환가능하지 않는다는것 을 알아야 한다 ( AAA 는 보다 새 로운 
RADIUS 와 Kerberos 규약들을 위 하여 설계 되 였 다. ) . 

전체 구성 방식 에서 다음의 지 령을 입 력하시오. 
aaa new-model 

AAA 를 끄는것 은 그것 을 기 동하는것 만큼 쉽다. 
no aaa new _ model 
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인증을 기동하기 

인증(권한부여도 류사)은 하나의 방법목록에 의거하고 있다. 방법목록은 사용자가 
경로기에서 인증(또는 권한부여)될수 있는 여러가지 방도들을 포함한다. 어떤 경우에 봉 
사들중 하나가 준비 되여 있지 못할수 있는데 (RADIUS 봉사기가 정지되였을수 있 다.) 경 
토기 는 사용자를 인증하기 위하여 여 벌의 방법 을 리용할수 있 다(국부적 으로 보관된 사용 
자자료기지 또는 또 하나의 RADIUS 봉사기). 개 별적 인 인증자료를 정의할 대 신에 방법 
목록은 집 단으로 정 의된다. 하나의 집 단은 하나이상의 같은 형 식의 봉사를 가질수 있다 
(즉 RADIUS 집 단에서 하나 또는 여 러개의 RADIUS 봉사) . 

첫 지 령은 집 단이 름과 그 성 원들의 IP 주소들을 정의한다. 
aaa group server radius {group name} server {ip address} 

다음 지령은 《 default 》 라는 제목을 가지는 하나의 방법목록을 정의하고 그것을 모 
든 경로기가입자들에게 적용한다. 모든 사용자들은 그 집 단안의 모든 봉사기들이 도달불 
가능하지 않는 한 _IUS 집 단에 의하여 인증된다. 도달불가능하면 경 로기 는 국부사용 
자자료기지를 찾아 본다. 

aaa authentication login default group radius local 


권한부여를 기동하기 

방법목록은 어디서 체계가 사용자접근을 정의하는 체계분석표를 찾고 검색할것인가 
를 정 의 하는데 도 리 용된다. 권한부여 방법 목록은 인증방법 목록과 류사한 방법 으로 구성 되 
는데 여 러 가지 방법 에 의하여 어 느 망봉사가 조종되 는가를 정 의한다. 이 망봉사들은 5개 
의 류형으로 볼수 있다. 

Auth-proxy 방책들을 사용자에 결합시키는데 리용되는 인증대 리자체계의 부분 
Command 경로기 에서 EXEC 방식 에서 주어 진 특성지 령들에 대 한 접근을 정의 
EXEC 경로기말단대화의 특징을 일반적으로 규정 

Network PPP 를 포함하는 모든 망대 화 
Reserve Access 역 telnet 대화와 관련된다. 

첫 지령은 방법목록을 만든다. 

aaa authentication auth-proxy/network/exec/commands {level}/ {reverse-access 
{list name} {method} 

두번째 지령(대면부방식에서 수행)은 권한부여방법목록을 대면부와 련결한다. 
Login authorization {list name} 


보충적인 보안예방책 

지금까지 본 모든 보안예방대책들과 함께 목록에 첨가할만 한 가치가 있는것이 또 
한가지 있다. 우리 의 최 종과제 는 스머 프 (Smurf) 공격 을 막도록 하는것 이 다. 스머 프라는 
이 름은 이 공격 을 진행한 원래 의 프로그람으로부터 붙은 이 름인데 스머 프는 하나의 호스 
트를 자료흐름으로 포화시켜 봉사거 부를 일 으키 기 위하여 IP 속임 수와 ICMP 응답들의 결 
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합을 리용한다. 

이 공격은 다음과 같이 진행된다. 공격자는 가짜 ping 파케트 (echo 요청)틀，많은 수의 
호스트들을 가지고 있으며 큰 대역너비의 인터네트련결을 가지는 망의 방송주소로 보낸 
다. 이 런 망을 바운스싸이트라고 한다. 이 가짜 ping 파케 트는 공격하려 고 하는 체 계의 원 
천주소를 가지고 있다. 

이 공격의 전제는 경로기가 IP 방송주소 (206.121.73. 255 와 같은)로 전송된 하나의 파 
케 트를 수신할 때 그것은 이것을 망방송으로 인식 하고 그 주소를 이씨네트방송주소 
FF:FF:FF:FF:FF:FF 로 넘 긴다는것 이 다. 그러 므로 경 로기 가 인터 네 트로부터 이 파케 트를 
수신하면 그것은 그것을 국부망토막의 모든 호스트들에 방송할것 이 다. 

다음에 무슨 일 이 생길것 인가는 독자도 알리 라고 본다. 그 토막의 모든 호스트들聲 
가짜 IP 주소에 echo 응답으로 응답한다. 만일 이것 이 큰 이써네트토막이라면 500 개 또는 
그 이상의 호스트들이 매 echo 요청에 응답할수 있다. 

대 부분의 체 계 들은 ICMP 자료를 될 수록 빨리 처 리하려 고 하므로 공격 자가 가장한 체 
계 (목표체 계)는 echo 응답들에 의하여 인차 포화되게 된다. 이 렇게 되면 체계는 다른 자료 
흐름을 처 리할수 없게 되 며 결 국 봉사거 부에 빠지 고 만다. 

이것은 목표체계 에 만 영 향을 미치는것 이 아니 라 그 기 관의 인터네트련결에 도 영 향을 
미친다. 만일 바운스싸이트가 T3 련결 (45Mbps) 를 가지고 있는데 목표체계의 기관은 임대 
선 (56Mbps) 에 련결되 여 있 다면 T3 련결 에 로의 오고가는 모든 통신은 점 차 마비 되 고 말것 
이다. 

그러면 이러한 형태의 공격을 어떻게 하면 막을수 있겠는가? 스머프공격의 효과를 
약화시 키 기 위 하여 서 는 원천싸이 트, 바운스싸이 트 그리 고 목표싸이 트에 서 다 대 책 을 세 
워 야 한다. 

원천에서 스머프를 막기 

스머프는 가짜 원천주소를 가지고 echo 요청을 전송하는 공격 자의 능력 에 기초하고 
있 다. 이 장의 앞부분에서 고찰한 표준접 근목록을 리용하여 이 공격 을 그것 의 원천에 서 
중지시킬수 있다. 이것은 자기의 망에서 시작하는 모든 자료흐름들이 적당한 원천주소를 
가지도록 담보함으로써 그 원천으로부터 공격을 하지 못하게 한다. 

바운스싸이트에서 스머프를 막기 

바운스싸이트에서 스머프를 막는데는 두가지 선택이 있다. 첫째는 간단히 모든 들어 
오는 echo 요청들을 막는것이다. 이것은 이 파케트들이 망에 도달하지 못하게 한다. 

둘째로 만일 들어 오는(모든 echo 요청들을 막는것 이 선택 이 아니라면) 자기의 경로 
기들이 국부망방송주소를 목적지로 하는 자료흐름들을 넘기지 않도록 하여야 한다. 이것 
을 막음으로써 체계는 이 echo 요청들을 더는 수신하지 않게 될것이다. 

Cisco 경로기가 국부망방송파케트들을 막도록 하기 위하여서는 국부망대면부에 대 한 
구성 방식 에 들어 가서 다음의 지 령을 입 력하여 야 한다. 
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no ip directed-broadcast 


경 고 

이것은 매 경로기의 매 국부망대면부에서 수행되여야 한다. 이 지령은 경계선경로 
기에서만 수행되면 효과가 없을것이다. 


목표싸이트에서 스머프를 막기 

ISP 의 도움을 받을수 없을 때에도 자기의 WAN 련결에 주는 스머프의 영향을 막기 
위하여 무엇 인 가 좀 할수 있 다. 

이 자료흐름들을 망경계선에서 막을수 있는데 이것은 이 공격이 그 망의 WAN 대역 
너비를 몽땅 먹어 치우지 못하게 하기에는 너무 늦다. 

그러나 경계선에서 그것을 막음으로써 적어도 스머프의 효과를 최소화할수 있다. 재 
귀접 근목록 또는 상태 를 유지할수 있는 어 떤 다른 방화벽장치 를 리용함으로써 이 파케 트 
들이 들어 오지 못하게 할수 있 다. 상태표는 공격 대화가 국부망에 서 시 작되 지 않았다는 
것을 알고 있으므로(그것은 원래의 echo 요청을 보여 주는 표항목을 가지고 있지 않다.) 
이 공격은 처리될수 있으며 즉시 제거된다. 

요 약 

이 제 는 Cisco 경 로기 에 서 기 초적 인 련결 을 어 떻 게 구성 할것 인가를 잘 알게 되 였 다. 
우리는 자료흐름을 조종하기 위하여 표준 및 확장접근목록을 어떻게 만들것 인가를 고 
찰하였다. 대부분의 망경계선들에 경로기가 있으므로 이 지식은 매우 쓸모 있을것이 
라고 본다. 려과를 어 떻게 구성할것 인가를 알게 되 면 이 점 에서 자료흐름을 조종할수 
있게 된다. 

보다 높은 준위의 보호가 필요하다면 완전특징을 갖춘 방화벽을 리용하여야 한다. 
다음장에서는 Check Point 의 방화벽-1 을 어 떻게 설치 하고 구성 할것 인가를 고찰하게 
된 다. 
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제 7 장 . Check Point 의 방화벽 -1 


이 장에서 어느 방화벽을 취급할것인가를 선택하기는 좀 어렵다. 시장에는 넓은 범 
위의 특징들을 가진 많은 방화벽제품들이 나오고 있다. 방화벽-1은 현재까지 가장 널리 
보급된것 이 기때문에 그것을 선택하여 고찰하기 로 한다. 그것은 제6장에서 본 Cisco 경 로 
기 를 제 외 하고는 다른 어 느 방화벽제 품들보다 많이 배비 되 였다. 

방화벽-1의 개팔 

방화벽-1은 넓은 범위의 특징들을 가지고 있지만 보안방책들을 만들고 집행하는데서 
세 가지 의 기 본구성 요소들을 리 용한다. 

• GUI 관리대 면부 

• 관리봉사기 

• 방화벽모둘 

G 내관리대면부 

하나의 GUI 의뢰 기가 리 용되여 망(또는 기업 소)보안방책 (주소변환 및 대역너비 방책 
과 함께)을 정의하는데 이것은 또한 망객체 (호스트들, 관문들 등)들과 보안규칙들에 의 
하여 정 의 된다. GUI 는 등록보기 (Log Viewer ) 와 체 계 상태 보기 (System State Viewer ) 를 가 
지고 있다. 

방화벽-1은 GUI 에서 정의된 방책들(보안, 주소변환 및 대역너비)로부터 INSPECTS 
크립트를 만든다. INSPECT 는 Check Point 의 전용의 객체지향적 인 고급스크립트언어 이다. 
INSPECT 스크립트는 를파일되여 INSPECT 코드를 만드는데 이것은 다음에 망에 있는 여 
러 가지 검 열 ( Inspection ) 모둘들에 적 재 된 다. 

원래 의 INSPECT 스크립 트는 본문파일이 므로 그것 들은 구체 적 인 요구들에 맞추기 위 
하여 보안관리자들에 의하여 변경 될수 있 다. 

관리봉사기 


GUI 의뢰기를 리용하여 여 러 가지 방책들을 만드는데 그것들은 관리봉사기 에 보관 
된다. 관리봉사기 는 모든 방화벽 -1의 자료기 지 들 (망객 체 와 사용자정 의 를 위한것 들을 
포함하여), 방책들 그리고 모든 망집행점들에 대한 등록파일들을 보관유지할 책임을 
진 다. 
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방화벽모듈 


방화벽모둘은 망집행점(보통 관문)에 설치되는 쏘프트웨어요소이다. 방화벽모둘은 
관리봉사기로부터 방책들을 받아서 그것을 실현하며 그것에 의하여 망을 안전하게 한다. 

검열모듈 

검열모둘은 OS 에서 적재되는메 망층아래 ( OSI 모형에 기준하여 아래)，그러나 자료련 
결층우에 적재된다. 파케트들은 검열모둘에 의하여 분석되고 방책들과 비교된다. 

이전의 통신들로부터의 IP 주소들, 포구번호들 그리고 상태정보들이 모두 검열모둘에 
서 분석되 여 방책 이 그 파케트들을 허용하는가를 결정 한다. 모든 대화들에 대 한 모든 문 
맥과 상태정보들은 동적련결표에 보관된다. 이 표들은 부단히 갱신되는데 검열모둘에 다 
음의 통신들을 검사하는데 쓸 루적자료들을 제공한다. 

보안봉사기 

보안봉사기들은 사용자인증과 내용보안의 책임을 진다. 인증은 FTP , HTTP , Rlogin 
그리 고 telnet 들을 가지 고 동작할수 있다. 방화벽-1에서 리 용될수 있는 인증체 계 (또는 제 
작자의 기술들)들의 일부를 들면 다음과 같다. 

• 방화벽-1의 통과암호 

• OS 통과암호 

• S/Key 

• SecurlD Token 

. RADIUS 

• Agent Pathways Defender 

• TACACS / TACACS + 

• 수자식 증명 서 (Digital Certificates ) 

우의 체 계 들에 서 리용될 수 있는 3가지 인증방법 이 있 다. 

사용자인증 이것은 투명하게 수행되는데(사용자는 방화벽-1관문에 표면적으로 
련결되지 않는다.) 사용자인증은 임의의 IP 주소로부터의 접근을 허용한다. 

의릐기인증 의뢰기인증은 임의의 봉사에 대하여 준비되여 있는데 특정의 IP 주소 
와 련결되 며 투명할수도 있고 투명치 않을수도 있 다. 

대화인증 사용자련결요청은 방화벽-1에서 차단되는데 이것은 다음에 대화인증기 
구(의뢰기에 설치되여 있는)를 기동시킨다. 자격을 받게 되면 방화벽-1은 
련결요청을 끝낸다. 

보안봉사기들은 또한 내용보안의 책임도 가지는데 이것은 다음의 규약들에 대하여 
준비되 여 있 다. 
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HTTP 체계 ( HTTP , FTP 등)，방법 (GET 와 POST ), 호스트들 (*. com ), 경로들 그 
리고 질문들에 기초하여 내용을 조종한다. 

FTP 파일 에 서 반비 루스검 사 그리 고 파일 이 름제 한， FTP 지 령 들 (GET 와 PUT ) 에 
기초하여 내용을 조종한다. 

SMTP 주소마당 (《 From 》 과 《 To 》), 머리부 그리고 부속형태 知. VBS ) 에 기초하 
여 내용을 조종한다. 주소변환도 준비되 여 있으며 응답으로 정확한 주소를 
재 보관하는 능력 을 유지 하면서 실제 사용자이 름을 바깥세 계 로부터 숨긴 다. 

보안 및 관리봉사 

인증과 내 용려 과에 추가하여 방화벽 -1은 다음의 보안 및 관리봉사들을 제 공한다. 

• NAT (망주소변환) 

• VPN (가상사설망) 

• LDAP (가벼운 등록부접근조종)구좌관리 

• 제 3 자의 장치 관리 (열린 보안확장) 

• 고장극복성 (높은 리 용성 ) 

• 부하균형 (련결조종) 

망주소변환 ( NAT ) 

NAT 는 사설 IP 주소들을 하나 또는 몇개의 공개 IP 주소들로 넘긴다. 방화벽-1은 두가 
지 방법을 통하여 동적 및 정적주소넘기기를 제공한다. 

도형주소변환규칙기지 주소변환규칙기지 는 IP 주소에 의 해서 가 아니 라 이 름에 의 
하여 객체를 규정하는데 리용될수 있다(이전에 하나의 IP 주소를 배 당 받 
았던 객체). 규칙들은 다음에 특정의 목적지와 원천 IP 주소 또는 봉사들 
에 적용될수 있다. 

자동구성 자동구성 에 의하여 변환특징 들이 망객 체 들(망 또는 워 크스테 이 션과 같 
은)에 배당되며 다음에 규칙들이 자동적으로 이 특징들에 대하여 생성된다. 

가상사설망 ( VPN ) 

Check Point 의 VPN -1 관문은 방화벽-1과 선택적 VPN 모둘의 결합이 다. VPN -1 은 공업표 
준규약들을 지 원하면서 싸이트 대 싸이트 및 원격사용자 VPN 접근을 제공한다. 


• DES 

• Triple DES 

• IPSec/lKE 

• 수자식증명서 
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VPN 에 대 하여 더 알고 싶으면 제10장을 보면 된다. 

가벼운 등록부접근규약 ( LDAP ) 

방화벽 -1은 구좌관리모둘을 리용하여 LDAP 사용자들 (그리 고 봉사기 들)은 어 떤 다른 
망객 체 와 갈은 규칙 들에 의하여 리용될수 있 다. 한가지 간단한 실례 는 관문뒤 에 있는 자 
원 에 접 근을 요청하는 방화벽밖에 있는 사용자이 다. 방화벽모둘은 제 3자의 LDAP 봉사기 
에 보관되 여 있는 LDAP 자료기지 에 사용자가 제공한 자격을 확인할것을 물어 볼수 있으 
므로 큰 사용자자료기 지 를 준비할 필 요는 없 다. 

구좌관리의뢰기 는 방화벽-1 GUI 로부터 또는 독립적 인 응용프로그람으로부터 시 작될 
수 있다. 많은 사용자들에게 구성정보를 한번에 적용하기 위하여 견본이 리용될수 있다. 
견본에서의 어떤 변화는 그 견본과 관계되는 모든 사용자들에게도 자동적으로 전달된다. 
포함되는 모든 요소들(방화벽-1，구좌관리의뢰기 ， LDAP 봉사기)이 SSL 을 리용하므로 이 
통신은 안전하다. 

제3자의 장치관리 

열 린 보안확장 (Open Security Extension ) 은 망확장방책 을 3 Com , Microsoft , Cisco 그 
리고 Nortel 과 같은 제작자들로부터의 계3자의 보안장치들에 적용하는 선택적 인 구성요 
소이다. 일단 보안방책이 결정되면 방화벽-1은 ACL (접근조종목록)을 만들고 그것을 망 
에 있는 매 경로기와 장치에 보낸다. 

열린 보안확장은 또한 보안방책객 체 를, 등록통보문들과 갈은 미 리 존재하는 접 근목 
록을 입구하는 능력을 가진다. 

고장극복성 

망우의 모든 방화벽모둘들은 련결 및 상태정 보를 공유하므로 매 개 별적 인 방화벽모 
둘은 모든 망통신들을 완전히 알고 있다. 만일 하나의 방화벽모둘이 실패한다면 다른 방 
화벽모둘이 그것의 위 치 에서 조종을 넘 겨 받고 련결을 유지한다. 

매 련결의 상태표들은 방화벽모둘사이에서 부단히 동기화되므로 체계는 비대칭경 
로조종을 지 원할수 있다. 이 정 보가 없으면 같은 대 화의 부분이 지 만 다른 경 로와 다 
른 관문을 통하여 전송되는 파케트들은 다르게 해석될수 있으며 일부는 제거될수 
있 다. 

부하균형 

ConnectControl 은 하나의 론리 적 봉사기 객 체 (같은 봉사를 제 공하는 여 러 개의 물리 적 봉 
사기들)를 만드는 선택 적 인 모둘이 다. 특정봉사기의 모든 련결들을 주어 진 하나의 론리 
적봉사기에로 안내하는 규칙을 정의할수 있다. 의뢰기들은 사실상 론리적봉사기를 구성 
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하는 물리적봉사기들중의 어느것에 련결되여 있지만 하나의 론리적봉사기만을 알면 된다. 
다섯 개 의 부하균형 알고리 듬이 존재 한다. 

봉사기부하 봉사기에 부하측정체계가 설치되여 있을 때에만 쓸수 있다. 방화벽- 
1은 여 러 체계들로부터 정보를 리용하여 어느 봉사기가 들어 오는 련결을 
가장 잘 처리할수 있는가를 결정한다. 

왕복 (Round trip ) hng 자료가 어 느 봉사기 가 가장 짧은 왕복시 간을 가지며 그러 
므로 하나의 련결을 처리하여야 한다는것을 결정한다. 

회람 (Round robin ) 목록에 있는 다음번 봉사기에 련결이 배당된다. 

우연 ( Random ) 우연알고리듬에 의하여 하나의 봉사기가 선택된다. 

령역 ( Domain ) 령역이름에 의하여 결정했을 때 가장 가까운 봉사기가 선택된다. 

종은 방화벽-1의 지원을 찾기 

Check Point 밖에서 방화벽- 1 에 대 한 가장 좋은 정 보는 Phoneboy 특히 www.phoneboy.com 
에 서 찾을수 있 다. 이 싸이 트는 가장 좋은 FAQ 싸이트들중의 하나로서 다음의 주소에 방 
화벽-1을 전문취급한 목록을 가지고 있다. 

www. phoneboy. com/fwl/wizards/index. html 

물론 다음의 주소에 하나의 통보문을 보냄 으로써 Check Point 방화벽- 1 우편목록에 
예약할수도 있다. 

<Majordamo @ us. checkpoint. com> 

통보문은 다음과 갈은 내용을 가지게 할수 있다. 


Subscribe fw-1-mailing list 

이 목록은 Check Point 에 의 하여 운영 되 고 있지 만 사실 그리 적 당한 목록은 아니 다. 
예 약자들은 문제 점 들과 불만을 공개적 으로 토론하고 있으며 Check Point 로부터 그 목록 
에 정보를 올리는것을 거의 볼수 없다. 

이것은 말단사용자공동체안의 친절한 사람들로부터 충고와 도움을 받고 있 다는것 을 
의 미한다. 이 것은 언제 나 좋은 일 이 다. 시 장광고가 아니 라 직접 적 인 조언을 더 많이 받 
게 되는것이다. 


■래트■의 선택 

방화벽-1의 우점의 하나는 그것 이 지원하는 플래트홈이 다양한것 이 다. 방화벽-1의 
요소들은 표 7-1 에서 보여 준것과 같은 여 러가지 조작체계들에서 돌아 갈수 있다. 

우리 의 고찰을 위한 한가지 모형 으로서 NT 4.0 을 리용하기 로 한다. 이 선택 에 는 다 
음의 몇 가지 리유가 있 다. 
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표 7-1 방화벽 - 1 이 지원하는 조작체계 


방화벽 -1 a 1- 

조작 체계 

관리봉사기와 집행모듈 

Microsoft Windows NT 4.0 

Sun Solaris 2.6，Solaris 7 

Red Hat Linux 6.1 

HP-UX 10.20 ， 11.0 

IBM AIX 4.2. 1 ， 4.3.2, 4.3.3 

GUI 의 뢰 기 

Microsoft Windows 9 X, NT, 2000 

Sun Solaris SPARC 

HP-UX 10.20 

IBM AIX 


• 방화벽의 리 용에서 UNIX 체 계 를 안전하게 하는데 필요한 정보는 너무 널리 분포 
되 여 있 다. NT 를 안전 하게 하기 위한 기 술들은 그리 공통적 인것 이 아니 다. 

• NT 와 NT 제품들은 UNIX 제 품들보다 그리 성 숙되지 못하였고 따라서 설치 과정 
에 감시 하여 야 할 많은 문제들을 가지고 있다. 

• NT 에서 방화벽을 돌리는것은 매우 인기 있는것으로 되고 있다. 

이러한 리유로 하여 우리의 고찰은 NT 판 제품들로 제한하려고 한다. NT 와 UNIX 판 
들사이에는 많은 대면부류사성들이 있지만(지어 UNIX 우에서 방화벽을 돌리고 NT 로부터 
그 조종쏘프트를 돌릴수 있다.) 그 설치과정은 판들사이에서 크게 다를수 있다. 

방화벽설치를 위한 NT 준비 

먼저 방화벽 제 품설 치 를 위하여 NT 를 준비하는 과정 을 보기 로 하자. 보안을 강화하 
고 성능을 최 량화하기 위하여 체계 에 대 한 수많은 작은 변경을 수행할수 있다. 

하드웨어요구 

방화벽 으로서 리 용될 제 품 NT 봉사기는 다음의 규준들을 만족시키거 나 초과하여 야 한 
다 ( T 1- 속도의 련결 또는 그이하를 가지 고 있고 봉사기 는 방화벽기 능으로 전용화되 고 있 
다고 가정하고 있다.). 


• Pentium 200처 리 기 


• 1 GB 의 디스크기억 

• RAID in 또는 그이상의 여분 

• 128 MB 의 RAM (Check Point 의 권고에 따르면 방화벽 -1을 위 한 최 소크기 ) 

• 2개의 PCI 망기판 


방화벽-1은 보다 못한 플래트홈에서 돌것 이므로 인터네트성능과 리용가능성 이 중요 
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한 인자로 된다. 만일 처음으로 인터네트련결을 하고 있다면 다른 기업봉사들과 마찬가 
지로 얼마나 빨리 그것에 의존하게 되는가에 놀랄것 이 다. 


NT 의 설치 

방화벽-1은 NT 봉사기 또는 워크스테이션우에서 돌게 된다. 이 체계는 전적으로 방 
화벽기능만 하게 되여야 하므로 이 두 제품사이의 사용권계산차는 고려되지 말아야 한다. 
그러므로 어느 한 제품을 리용할수 있다. 그러 나 등록고 ( Registry ) 에서의 허 용설정들에 
의하여 NT 봉사기 가 좀 더 안전하게 되 므로 NT 봉사기 를 리용하는것 이 권고된 다. 


추 __°1 

Windows NT 등록고 ( Registry ) 는 체계의 모든 구성 정보를 보관하는데 NT 봉사기와 
워크스테 이 션사이 에서 약간 다르다. NT 봉사기는 등록고열쇠 들에 관한 보다 엄격한 
접근조종방책 을 가지 고 있다. 이것은 체 계관리 자만이 그 자료기지열쇠안에 보관된 
값을 변화시킬수 있도록 담보하며 등록고정보의 무결성을 증가시킨다._ 


NT 봉사기를 설치할 때 다음의 내용들을 관찰하여 야 한다. 

• NT 를 적 재하기전에 모든 필 요한 망기 판들을 설 치한다. 

• NT 조작체계와 교체파일을 보관할 적 어도 800 MB 의 NTFS C 분할을 만든다. 

• 나머 지 공간 (최 소 200 MB ) 을 NTFS D 분할로 만들어 서 방화벽 쏘프트와 방화벽 
등록파일 ( log ) 을 저 장하는데 쓴다. 

• 유일한 규약으로서 TCP / IP 를 적재한다. 1 P 전송이 가능한가를 확인한다. 

• 이 봉사기 를 내 부접 근을 위한 OS 인증을 리용하는데 쓰러 고 계 획하지 않는 한 
모든 봉사를 제 거한다. 만일 OS 인증을 리용하려 고 한다면 콤퓨터열 람기， 
NetBIOS 대 면부， RPC 구성 봉사기 그리 고 워 크스테 이 션봉사들을 돌려 야 한다. 

• SNMP 를 리용하려 고 한다면 그것 을 설 치한다. 

• 콤퓨터 를 하나의 령 역프레 임 으로가 아니 라 독립 적 인 작업집 단으로 구성한다. 

• 만일 봉사기가 령역의 부분이라면 외부대면부에서의 모든 wms 결합을 불가능 
으로 한다. 

• 손님구좌를 불가능으로 하고 방화벽관리 를 위한 새 로운 관리 자등가구좌를 하 
나 만든다. 방화벽쏘프트를 설치할 준비가 되면 관리자로서의 가입을 제명하 
고 새 로운 구좌이 름으로 가입하며 관리 자구좌를 불가능으로 한다. 

• 사용자관리에서 검열과 가입실패추적을 가능으로 한다. 사용자권한에서 모든 
사용자가 망으로부터 가입하는 권한을 지 운다. 국부가입 권한을 관리 자등가로 
만든 사용자이 름만을 허 용하도록 변경한다. 

• Service Pack 6 a 를 설 치 한다. 이 것은 가장 안정 한 봉사묶음으로 인정되 고 있으 
며 가장 포괄적 인 보안요소들을 가지고 있다. 

• 체 계 등록정 보의 성 능표쪽에 서 우선권응용프로그람지 원을 None 으로 변경 시 킨다. 

• 만일 봉사기 봉사(령역 인증을 위한) 를 돌리 고 있 다면 봉사기등록정 보대 화칸에 
로 가서 망응용프로그람을 위한 처 리 량을 최 대 값으로 변경시 킨다. 
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일러두기 

NT 는 구동기이 름들을 등록고에 서 NIC 기 판적 재 순서 와 결 합시키 는 문제 를 가지 고 있 
다. 만일 기판설정 이 어떤 방법으로 ( IRQ 변화，기판의 추가 또는 제거 등) 변화된다 
면 이 등록고설정이 혼란될수 있다. 이것을 ipconfig 지령을 돌려 검사할수 있다. 이 
지령은 부정확한 기판정보 또는 다음과 같은 오유통보문을 내게 한다. 《The 
Registry has become corrupt . > 그러 므로 NT 를 설 치 하기 전 에 NIC 들을 설 치 하는것 이 
중요하다. 조작체계와 모든 수정쏘프트들을 재적재할수도 있다. 


우의 내용들을 실행하였다면 이제는 구급회복디스크를 만들고 방화벽-1제 품을 설 치 
할 준비 가 되 였 다. 만일 이 제 NT 봉사기 CD 로부터 어 떤 새 로운 쏘프트를 적 재한다면 다 
음의 내 용들을 재 설 치하여 야 한다. 


• SP 6 a 

• 모든 hotfix 들 

• 방화벽 쏘프트웨 어 (갱 신으로서 ) 

• 방화벽수정프로그람 ( patch ) 

• 방화벽쏘프트웨어를 설치하기전에 체계가 정확히 당신이 원하는대로 되였는가 
를 확인하여야 한다. 

설치하기전의 간단한 검사 

이 점 에서 그 방화벽 플래 트홈이 IP 련결을 가지는가를 확인하여 야 한다. 인터네 트로 
련결하는 국부경로기대면부에로 기정의 경로를 하나 만든다. 방화벽에 직접 련결되지 않 
은 어 떤 내부망토막에 대 하여 요구되는 경 로표항목들을 만든다. 경 로표항목을 만들 때 
리용할 정 확한 문법은 다음과 갈다. 

Route add-p {remote IP } mask {subnet mask } {gateway address } 

국부경로기의 IP 주소는 192.168.1.5 이고 그 다른쪽에 있는 망 192.168.2.0 에 가는 
경 로항목을 만들기 위해서 다음과 같이 입 력한다. 

Route add-p 192.168.2.0 mask 255.255.255.0 192.168.1.5 
마찬가지로 경로기항목이 호스트 192.168.2. 10에 대 한것만이 라면 다음과 같이 입력 
한다. 

Route add-p 192.168.2.10 mask 255.255.255.255 192.168.1.5 


죽 __ 2 l 

- p 표시는 조작체계로 하여금 이 경로항목을 영구적 인것으로 만들도록 한다. 즉 조 
작체계 가 재기동하여;ᅩ그 경 로항목은 변하지 않고 남아 있도록 한다. 


경로표를 만든 다음에는 련결성을 검사하여야 한다. 이것은 ping 과 traceroute 지령을 
리용하여 할수 있다. 이 점에서 방화벽플래트홈은 모든 내부 및 외부호스트들과 련결을 
가져 야 한다. 만일 그렇 지 않다면 앞으로 더 나가기 에 앞서 그 문제 를 해 결하여 야 한다. 
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또한 내부호스트로부터 외부 IP 주소에로 ping 을 할수 있는가를 확인하여야 한다. 그 
러 나 자기의 내부호스트들에 대 하여 사설주소공간을 리용하고 있다면 이 것은 불가능할 
것 이 다. 사설 주소공간을 리용하고 있 다면 방화벽 의 외 부대 면부에 ping 을 하는것 으로 충 
분 하다. 

또한 ipconfig 지 령 을 돌려 외부 IP 주소와 관련된 적 응기 구동기 이 름을 기록하여 야 한다. 
하나의 관문장치를 구입하였다면 후에 방화벽쏘프트웨 어설치시 에 필요하게 될것 이 다. 그 
항목은 매우 민감한것이므로 그 이름을 정확히 기록하였는가를 확인하여야 한다. 


일러두기 

만일 련결을 검사하는 동안 누가 망에 침입할가봐 걱정된다면 경로기의 WAN 련결 
을 끊어 놓으면 된다. 그러면 그 경로기의 직렬대면부의 IP 주소만큼은 멀리 련결을 
검사할수 있다. 


사용권 받기 

련결성 을 다 검 열 하고 나면 방화벽사용권을 받을 준비 가 된것 으로 된다. 사용권을 
받기 위하여 Web 열 람기 로 다음의 위 치를 지적한다. 
http : / / license , checkpoint , com / 

제시된 양식들에 내용을 써넣음으로써 그 제품을 등록하고 합법적인 사용권열쇠를 
받을수 있다. 

다음의 정 보들을 써 넣 어 야 한다. 

• 당신은 누구인가? 

• 당신의 전자우편주소 

• 누가 당신에 게 그 쏘프트웨어 를 팔았는가? 

• CD 겉봉안에 있는 증명서열쇠번호 

• 당신 이 리용하려 고 하는 플래 트홈과 조작체 계 

• 방화벽의 외부 IP 주소 

이 양식 을 완성하면 유효한 호스트 ID ， 특징모임 그리 고 사용권 열 쇠 를 받게 된다. 
이 정보는 또한 그 양식에 써넣은 전자우편주소에도 보내진다. 일단 이 정보를 손에 넣 
으면 방화벽설치를 시작할 준비가 된것으로 볼수 있다. 


주 의 

방화벽쏘프트웨어 는 지 정된 날자에 만료되 는 30일 평 가판을 가지 고 있 다(그것 이 설 
치돼서 30일이 아니다.). 필요하다면 이 사용권을 리용하여 방화벽을 다시 돌릴수 
있으나 그 평 가판은 요구하는 모든 선택안들을 다 지원하지는 않는다. 
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방화벽- 1 의 설치 

방화벽 - 1 CD 에 는 모든 NOS 판들을 위한 프로그람파일 들과 사용지도서 들의 Adobe 
Acrobat 판들이 들어 있 다. Windows 등록부에 서 방화벽 봉사기 쏘프트웨 어 들에 대 한 등록부 
들과 많은 보충적 인 요소들을 찾게 될것 이 다. 

FloodGate-1 Check Point 의 대역너비관리도구. 이 모둘은 특정 한 형태의 망자 
료흐름에 대 하여 대 역너 비를 담보하기 위하여 동작한다. 

Meta IP 이 모둘은 사용자 대 주소넘기기를 하는것으로서 사용자에 기초한 보 
안방책 들을 실현하고 등록하기 위하여 사용자신분을 IP 주소와 자동적 으로 
련결하는 Check Point 의 방법 이 다. 

Reporting 미 리 정의된 견본들을 제공하는것 에 의 하여 이 모둘은 Check Point 
등록파일로부터의 정보를 정 리 하고 기록한다. 

High Availability 이 모둘은 내 용보안봉사를 위 하여 봉사여 분 (하나의 봉사가 
실패하면 다른것 이 갈은 과제 수행 을 인계 받는것 )과 사슬련결(하나의 봉 
사는 실행가능성들을 검사하고 다음것은 권한 없는 ActiveX 스크립트가 통 
과하지 않는가를 확인하는 등)을 제공한다. 

VPN-1 SecuRemote Check Point 의 VPN 의뢰 기 이 다. 이 쏘프트웨 어는 의뢰기와 
안전한 망사이의 모든 통신을 암호화한다. 

VPN-1 Secure Client SecuRemote 에 추가된것으로서 워크스테이션방화벽으로 
기능한다. 

Session Authentication Agent 이 요소는 Windows 의 뢰 기 가 방화벽 - 1 모둘에 인 
증하고 어떤 허용된 IP 봉사를 리용하도록 한다. 

방화벽- 1 의 설 치는 매 우 간단하다. 먼저 CD 를 NT 봉사기 에 설 치한다(이것은 자동기 
동된다.). 다음에 사용권동의에 찬동하는가를 묻게 된다. 그러면 봉사기/관문요소 또는 
이 동용/탁상형 요소를 선택하게 하는 제 품안내서 가 나타난다. 봉사기/관문을 선택한 다음 
어느 특정의 봉사기/관문요소를 설치할것인가 하는 선택안이 나타나게 된다(기정은 그것 
들전체이다.). 

다음에 독립형 설 치 인가，분산형 설 치 인가를 결정하여 야 한다. 마지 막에 실제 적 인 방 
화벽 -1 설 치 가 시 작되 며 방화벽 쏘프트를 어 디 에 설 치 할것 인 가를 묻게 된 다. 관리 가 쉽 도 
륵 하기 위하여 그 쏘프트웨어 를 이전에 지정한 D 분할에 설 치하여 야 한다. 다음에 그림 
7-1 에 서 보여 준것 처 럼 어 느 제 품판본을 설 치하려 고 하는가를 선택한다. 대 표적 으로 이 
것 은 방화벽- 1 Enterprise Product (제 한 없는 사용권 방화벽 ) 또는 방화벽- 1 Single 
Gateway Product(250 개 까지 의 호스트에 사용권허 가되 는 판본) 일 수 있 다. 정 확한 제 품을 
선택 하는가를 확인하여 야 한다. Single Gateway Product 를 선택하면 후에 그 방화벽 의 외 
부대면부를 식별할것을 요구하며 Enterprise 판에서는 그렇지 않다. 
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[은 병행가능한 인터네트련결 
그 리유는 방화벽의 일이 
■벽뒤의 IP 마디점들을 모두 포괄하는가를 


면 설 치프로그람은 그림 7-2 에 서 보여 
호환되여 야 하는가를 묻는다. 








하는것 이 좋다. 평가판은 사용권기간이 다 되면 사건보기 에서 오유통보문을 낸다. 이것 
을 지우고 원하는것에 로 다시 돌아 가야 한다. 그러므로 처음에 시작할 때 정확히 하는 
것이 더 쉽다. 

다음에 그림 7-3 에 서 보여 준것 처 럼 방화벽관리 자를 만들것 인가를 묻는다. 방화벽 관 
리 자구좌정 보는 Windows NT 로부터 따로 보관된다. 관리 자이 름은 Windows NT 에 접 근할 
때 리용하는 가입등록이 름과 같지 않아도 된 다. 
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그림 7-3. 관리자대화칸 

매 관리 자에 대 하여 허 용되 는 접 근준위 를 설정할수 있다. 다음과 갈은 내 용들을 선 
택 함수 있다. 


Read/Write All 사용자에 게 모든 방화벽리 용에 대 한 완전한 접 근이 허 용된 다. 

이것은 보안방책들을 편집할수 있는 유일 한 선택 이 다. 

Customized Edit User 와 System Status 를 제 외 하고 다음의 모든 선택 항목들을 
읽거 나 또는 읽기/쓰기 할수 있다. 


• Edit User Database 

• Security Rules 

• Bandwidth Rules 

• Compression Rules 

• Log Viewer 

• System Status 
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No Permissions 사용자는 허가객체를 가지지 못한다(그러나 기록의뢰기를 리용 
하는것은 허가될수 있다.). 

Reporting Clients Permission 사용자가 기 록도구와 등록파일 정 리 프로그람을 돌리 
도록 허용하는가를 결정 한다(또한 읽기만인가 또는 읽기/쓰기인가를 지정) . 

GUI 의 뢰기 구성 은 그 방화벽 을 원격 으로 관리하도록 허 용되 는 원격호스트들을 정 의 
하게 한다. 원격사용자는 하나의 가입등록이 름과 통과암호를 입 력하여 야 한다. 이 설정 
은 가입등록할수 있는 원천 IP 주소들의 수를 제한한다. 기정으로 관리는 방화벽자체에서 
만 허용된다. 

전형적인 구성에서는 Monitor Only 권한을 가지는 하나의 사용자를 만들고 GUI 의뢰 
기 설정 을 리용하여 접 근점 들을 제 한한다. 이 두 설정 들을 결 합하면 자기 의 방화벽 의 활 
동을 안전한 방법 으로 원격 에서 감시할수 있게 된다. 

만일 하나의 관문을 설 치 하고 있 다면 다음에 외 부대 면부를 위한 적 응기 의 이 름을 입 
력하여 야 한다. 이 정 보는 지 령창에 서 ipconfig 지 령 을 입 력하여 검 색할수 있 다. 이 항목 
은 매 우 민감한것 이 므로 문자렬 을 정 확히 입 력 하여 야 한다. 

다음에 방화벽 -1이 IP 전송을 조종할것 인가를 선택하여 야 한다. 만일 방화벽 이 IP 전 
송을 조종하게 하면 봉사기는 방화벽처리가 불가능으로 되므로 자료흐름을 통과시킬수 
없게 된다. 또한 IP 전송을 조종하지 않도록 하면 방화벽처리가 불가능으로 될 때 그 런 
결은 넓게 열려 져 있는것으로 된다. 

명백 히 보안을 강화하기 위하여 방화벽 이 IP 자료흐름을 조종하기를 원할것 이 다. 다음 
화면은 보안봉사기규약설정 이 며 다음 화면에 서 는 인증과 ' VPN 운영 에 서 리 용되 는 암호화열 
쇠 를 생 성하기 위한 우연자료를 입 력할것 을 요구한다. 

일단 설치가 끝나면 봉사기를 재기동하여야 한다. 봉사기가 다시 기동할 때 가입등 
륵하고 방화벽-1프로그람묶음에로 가서 방화벽-1 구성그림기호를 선택하여 설치과정에 
구성된 설정들의 일부를 변경시킬수 있다. 


방화벽-1 GUI 의뢰기의 설치 

방화벽-1 GUI 의뢰기는 CD 에서 방화벽-1봉사기쏘프트와 같은 Windows 등록부에 위치 
하고 있으며 기정 에 의하여 방화벽-1 봉사기/관문모둘로 설치된다. GUI 의뢰기는 4개의 
분리된 요소들로 구성된다. 

• 방화벽규칙 들을 관리 하기 위한 방책 편집 기 

• 방화벽동작을 감시 하기 위한 등록파일보기 

• 개괄적 인 자료흐름통계를 기록하며 방화벽 이 정상인가 아닌가를 알기 위한 체 
계 상태 보기 

• 사건 이 발생할 때 그 통계 를 보기 위한 실 시 간감시기 

이 요소들은 방화벽자체가 설치되거나 또는 어떤 원격 Windows 9 X 또는 NT /2000 체 
계 에 설치될수 있다. 또한 이 네개의 구성요소들의 매 개를 선택적 으로 설치할수 있다. 


217 




의뢰기요소들을 시작할 때 방화벽-1 가입등록화면이 나타날것이다. 방화벽-1 관리자 
로 만든 가입등록이름과 통과암호 그리고 방화벽봉사기의 호스트이름을 입 력한다. 방화 
벽자체로부터 의뢰기를 돌리고 있을 때는 순환귀환주소 (127.0.0.1) 를 리용하기 바란다. 

방화벽-1의 구성도구프로그람 

지금 방화벽-1 쏘프트웨어 가 설 치되 고 자기 가 요구하는 어 떤 관리 자구좌를 첨 가할수 
있게 되였다. 방화벽-1 구성도구프로그람을 기동하고 관리자도구띠를 찰칵하면 그림 7-4 
의 화면이 나타난다. 

그림 7-4 에서 볼수 있는것처럼 이것의 선택항목들은 방화벽-1 봉사기설치기간에 관 
리 자구좌를 만들 때의것과 같다. 



그림 7-4. 방화벽-1 구성도구의 관리자대화칸 

방화벽 -1 구성 도구로부터 자기 가 리용하려 고 하는 SMTP 보안봉사기 도 구성할수 있 
다. 이것은 그림 7-5 에서 보여 주고 있다. 

SMTP 보안봉사기 는 방화벽 -1 구성 도구에 하나의 도구띠 를 첨 가하는 유일한 보안봉 
사기이다. 여기서 시간한계값，우편통보문들을 보관하기 위해 어느 등록부를 쓸것인가， 
오유통보문은 어디로 보낼것인가 등 SMTP 과정을 위한 파라메터들을 정의할수 있다. NT 
는 내장된 우편기능을 가지고 있지 않으므로 오유통보문들은 체계의 이름과 적당한 우편 
구좌를 지정하여 원격의 우편체계 에 로 전송하여 야 한다. 

일 단 구성 을 완성하면 방화벽 -1 구성 도구프로그람을 닫을수 있 다. 이 제 방책편집 기 
를 펼쳐서 방화벽규칙 들을 만들수 있다. 
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규칙기지에 적용하여야 한다. 이 구성은 좀 복잡한것처럼 보일수 있지만 사실상 매우 직 
선적이며 매 우 세밀한 보안조종을 할수 있게 한다. 모든 보안관리는 그림 7-6 에서 보여 
준 방책편집 기 의 Security Policy-1 을 통하여 수행 된 다. 

이 제 망객 체 들을 정 의 하는것 으로부터 시 작한다. Security Policy- 1 의 차림 표로부터 
Manage—Network Object 를 선택 한다(차림 표선택 항목들은 어 느 방책 표쪽 (policy tab) 이 선 
택되 는가에 따라 변화된 다. ) . 

그러 면 그림 7-7 에 보여 준 Network Objects 관리화면 이 나타날것 이 다. 처 음으로 이 
화면을 시작할 때에는 항목이 없다. 



다음과 같은 각이한 형 식의 객체들을 만들수 있다. 

워크스테이션 이것은 콤퓨터호스트를 만드는데 리용되는 일반적 인 객체 이 다. 이 
것은 방화벽과 같이 여 러개의 NIC 기 판을 가지 는 호스트들도 포함한다. 

망 이 객체는 전체 IP 부분망을 정의하는데 리용된다. 이것은 전체 부분망에 같 
은 보안방책을 적용하려고 할 때 유용하다. 

령역 이 객체는 특정의 DNS 령 역이 름안의 모든 호스트들을 정의하는데 리 용된다. 
이 객체는 리용하지 말것을 권고한다. 그것은 그것 이 정 확한 DNS 정보에 
의거하고 있고 방화벽의 처 리속도를 느리게 하기때문이다. 

경로기 이 객체는 망경로기들을 정의하는데 리용된다. 방화벽-1은 방책편집기에 
서 만든 방책들을 접근목록으로 변환하여 정의된 경로기들을 자동적으로 
갱신하는 능력을 가진다. 

교환기 이 객체는 망교환기들을 정의할수 있게 한다. 

통합된 방화벽 이 객체는 설치된 방화벽모둘을 표현한다(집 행점 이 라고도 부론 
다.). 

집단 이 객체는 여러개의 객체들을 하나로 모으려고 할 때 필요하다. 실례로 모 
든 망객체들을 하나의 집 단으로 만들고 그 집 단을 local net 라고 이 름 붙일 
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론리봉사기 두개 또는 그이상의 모둘들을 집 단으로 하여 갈은 봉사를 
있게 하며 또한 부하균형을 가능하게 하는데도 리용된다. 

주소대역 전체적인 IP 부분망대신에 이 객체는 보안방책이 주소들의 모 
될수 있게 한다. 

방화벽들 우 I 한 객체만들기 

만들어야 할 첫번째 객체는 그 방화벽을 표현하는것이다. 이것은 Network 
-면에서 New — Workstation 을 선택함으로써 수행된다. 그러면 그림 7_8에서 
kstation Properties 화면이 나타날것이다. 

먼저 하나의 이름과 IP 주소를 배 당한다. 체계이름은 를퓨터의 DNS 호스 
- osoft 콤퓨터이 름과 같아야 한다. 그리 고 방화벽 에 주목할 때 그것 이 여 러 개 
자지 고 있지 만 하나의 주소로 표준화하는것 이 유리하다. 보통은 외 부대 면부 




방화벽과 그뒤에 있는 체계는 내부망에 있는것으로 간주된다. 외부에 있는것으로 간 
주되는 유일한 체계는 방화벽의 외부대면부밖에 있는것이다. 그리고 이 체계는 여러개의 
NIC 기판을 가지고 있으므로 호스트가 아니 라 관문으로 간주된다. 마지막으로 방화벽-1 
이 이 기계우에 설치되였다는것을 지적하여야 한다. 

만일 Interface 표쪽을 찰칵한다면 체계대면부들의 목록이 나타날것이다. 아직 어떠한 
항목도 만들지 않았기때문에 이 목록은 비여 있을것 이 다. 



하나의 항목을 만들기 위 하여서는 Add 단추를 찰칵한다. 그러면 그림 7-9 에 보여 준 
Interface Properties 화면이 나 타 난다. 

여 기서 자기의 IP 규칙들을 정의할수 있다. 자기의 매 대면부들을 구성 함으로써 방화 
벽이 정당한 IP 주소로부터의 자료흐름만을 허용한다는것을 담보할수 있다. 이것은 스머 
프와 가짜주소들을 리용하는 다른 공격 들을 막는데 도움이 될 것 이 다. 

매 대 면부에 대 하여 리용하는 이 름은 Windows NT 에 의하여 리용되 는 적 응기 이 름과 
갈아야 한다. 이것은 또속임수에 관한 규칙들이 정당한 대면부에 적용되도록 담보한다. 
또한 국부적 으로 부속된 망주소 (NIC 의 IP 주소가 아니 라 망의 부분망주소)와 적 당한 부 
분망마스크를 입 력하여 야 한다. 

다음에 어 떤 자료흐름원천주소가 정 당한가를 정의한다. 이 것을 하기 위하여 Valid 
Addresses 에서 선택 항목들중 하나를 선택하여 야 한다. 아래 에서 매 개 선택 항목이 무엇 을 
의미하는가를 보여 준다. 

Any 이것은 기정 으로 되 여 있는것 인데 모든것 이 잘 되 여가고 있고 누구나 다 
믿 고 있다고 가정한다. 어 떤 위 장된 IP 자료흐름에 대 해서 도 조사가 진행 
되지 않는다. 

No Security Policy ! 이것은 Any 와 같다. 속임수검출이 진행되지 않는다. 

Others 이 항목은 다른 대면부들에 대하여 정의된 속임수려과기와 결합하여 리 
용된다. 결과적으로 이 항목들은 다음의 내용을 서술한다. 《다른 대면부 
에서 정의된것을 제외하고 모든 자료흐름은 허용가능하다.》이것은 외부 
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대면부에 대하여 보통 선택하는 항목이다. 

Others + 이것은 Others 와 기본적으로 같은데 그것의 자료흐름이 허용가능한것 
으로 간주될수 있는 추가적 인 호스트, 망 또는 집단을 정의하는 선택항목 
을 가지고 있다는것이 다르다. 

This net 이 항목은 국부적으로 련결된 부분망으로부터의 자료흐름만이 허용된 
다는것을 지적한다. 이것은 DMZ 또는 다른 부분망에로의 경로련결을 가 
지 지 않는 내 부망토막을 정 의하는데 서 유용하다. 

Specific 자료흐름이 허용가능한것으로 간주되는 특정의 호스트，망 또는 집 단 
을 지정할수 있게 한다. 이것은 여러개의 부분망을 가지고 있을 때 내부 
망을 정 의하는데 서 유용하다. 

일단 어느 주소들이 정당한가를 규정하였다면 다음에 방화벽에 가짜주소가 검출될 때 
무엇을 할것 인가를 알려 주어야 한다. 다음의 선택항목들이 있다. 

None 내가 가짜파케트에 대하여 무엇을 알려고 하는가? 

Log 방화벽 등록파일 에 가짜파케 트가 검 출되 였 다는것 을 지 적하는 하나의 등록 
항목을 만든다. 

Alert 그 사건을 등록하고 어떤 형태의 미리 구성된 작용을 한다. 


죽 __°1 

Security Policy- 1 차림표에서 Policy—Properties 를 선택하고 Log 와 Alert 표쪽을 찰칵함 
으로써 Alert 를 구성할수 있 다. 


최 소로 망에 대 하여 속임 수파케 트를 리용하려 는 어 떤 시 도도 등록하여 야 한다. 
Alert 항목은 주의 를 보다 빨리 끌게 할수 있는 어떤 다른 알림방법 을 정 의할수 있게 하 
므로 매우 유용하다. 실례로 방화벽이 경고조건이 성립된다는 내용을 가지는 하나의 전 
자우편통보문을 보내도록 할수 있다. 

이 과정을 방화벽에 설치된 매 대면부에 대하여 반복한다. 그렇게 다 하였다면 OK 
를 눌러 방화벽망객체들을 보관할수 있다. 

NAT 작업 

망객체들을 몇개 더 만들기로 하자. 내부망이 사설주소공간을 리용하고 있다고 가정 
하겠다. 이것은 방화벽 이 내부망과 인터네트사이 에서 망주소변환을 하여 야 한다는것을 
의미 한다. 

한가지 실례로서 우편중계기로 동작할 한 내부호스트를 설치 하자. 이 호스트는 인터네 
트로부터 도달가능하여 야 하므로 정 적 NAT 를 리 용하여 야 할것 이 다. 방화벽 객 체 들을 구성하 
는데 리용한 초기 단계 들을 반복한다. 구성 에 서 유일한 차이 는 Workstation Properties 화면 
의 General 표쪽이다. 여기서 방화벽설치검사가 검사안된것으로 남아 있다. 서로 다른 객 
체 들을 구별하기 위하여 이 객체 에 대 해서 는 다른 색갈을 설정하려 고 할수도 있다. 
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그림 7-10. Workstation Properties 화면의 Address Translation 표쪽 

일반정보들을 다 채워 넣은 다음에 Interface 표쪽을 선택 하는것 이 아니 라 Address 
Translation 표쪽을 선택한다. 이 화면은 그림 7사0과 류사하게 나타날것 이 다. 

NAT 를 리용하여 워 크스테 이 션객 체 를 구성하는것 은 매 우 직 선적 이 다. Add Automatic 
Address Translation Rules 검 사칸을 선택 하면 다른 선택 항목들이 능동상태 로 된다. 변환 
방법 에 대 하여 다음의 두가지 중 하나를 선택할수 있 다. 

Hide 그 체계를 합법적인 주소뒤에 숨긴다. 

Static 이 사설주소를 합법적 인 주소로 넘긴다. 

이 체 계는 도달가능하여 야 하므로 변환방법은 Static 로 정의 한다. 다음에 Valid IP 
Address 마당에 서 리용하려 는 하나의 합법 적 인 IP 주소를 입 력한다. Install On 선택 항목은 
어 느 방화벽객체 가 주소변환규칙 을 집 행하는가를 선택하게 한다. All 을 선택하면 모든 
방화벽객체 들에 규칙들을 설 치한다. 마지 막으로 OK 를 찰칵하고 규칙기지 에 이 항목을 
설 치 한다. 

방화벽에서 경로항목들을 만들기 

이 변환된 주소가 정 확히 처 리되 도록 하기 위하여 몇개의 단계를 더 걸처 야 한다. 
방화벽-1이 아니 라 사실상 NT 가 경 로기 능을 제공하므로 정 적 NAT 주소를 호스트의 합법 
적인 IP 주소와 결합시키는 하나의 정적경로항목을 지령창에서 만듦으로써 NT 를 속여 넘 
겨 야 한다. 

다음과 갈은 지 령을 입 력한다. 

Route add-p {legal IP address } mask 255.255.255.255 {Private IP address } 
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실례로 우편중계기에 배당된 IP 주소가 192.168.1.10 이고 합법적인 정적 NAT 주소가 
206.121.73. 10 이 라면 그 항목은 다음과 같이 나타날것 이 다. 

Route add-p 206.121.73.10 mask 255.255.255.255 192.168.1.10 

그 호스트가 그 방화벽에 국부적으로 련결되여 있는 토막에 속해 있다면 이것은 정 
확하다. 만일 호스트가 경로기의 밖에 있는 원천토막에 위치하고 있다면 사설 IP 주소항목 
을 경 로기 의 국부주소와 교체하여 야 한다. 

ARP 오ᅡ 관련한 문제들 

NAT 를 리 용하면 OSI 층 2( 자료련결층)과 OSI 층 3( 망층)통신사이에서 변환할 때 문 
제가 발생할수 있다. 어떻게 문제가 발생하는가를 보기 위하여 그림 7-11 에서 보여 준 
망을 고찰하자. 내부망은 사설주소공간을 리용하고 있다. 이것은 우편중계기가 완전한 
인터네트련결을 가지기 위하여서는 정적 NAT 를 리용하여야 한다는것을 의미한다. 



그림 7- 11. 사설 주소공간을 리용하는 하나의 망 


이제 ISP 가 하나의 류형 C 주소공간 206.121.73.0 을 배당하였다고 가정하자. 
206.121.73.1 을 경로기의 이써네트대면부에， 206.121.73. 2 를 방화벽의 외부대면부에 배 
당하고 우편중계 기 를 위한 정 적 NAT 주소로서 206.121.73. 10 을 리용하려 고 한다. 이 렇게 
되면 한가지 흥미 있는 일이 생긴다. 무엇 이 일어 나는가를 보기 위하여 하나의 나가는 전 
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자우편통보문을 전송하려고 할 때의 통신대화를 따라 가 보자. 간단성을 위하여 우편중계 
기는 자기가 통보문을 전달하려고 하는 외부호스트의 IP 주소를 이미 알고 있다고 가정하자. 

우편중계기는 외부호스트에 하나의 통보문을 전송하여야 한다는것을 인식한다. 그것 
은 자기의 IP 주소를 원천주소 (192.168.1.10) 로 하고 원격우편체계의 IP 주소를 목적지주 
소 (192.52. 기. 4) 로 하여 IP 머 리 부를 만든다. 우편중계 기 는 새 로운 대 화를 설정 하기 위하 
여 이 초기파케 트에 서 SYN=1 로 설 정한다. 

다음에 우편중계 기 는 192.168.1.1 (자기 의 기 정관문설정 )의 MAC 주소를 위하여 ARP 
를 내고 이 첫 파케트를 방화벽에로 전송한다. 

방화벽은 NAT 표를 조사하여 이 호스트주소가 정적으로 넘기기 되여야 한다고 인정 
한다. 방화벽 은 원천 IP 주소를 206.121.73. 10 으로 바꾸고 그 경 로기 의 이써네 트대 면부 
(206.121.73.1) 인 자기의 기정관문설정을 위한 ARP 로 낸다. 방화벽은 다음에 이 초기련 
결요청을 전송한다. 이 과정을 그림 7-12 에서 보여 주었다. 


인터 네트 



내부전자우편체계 워크스테이4 


그림 7-12 . 우편중계 기 로부터 의 초기대 화요청 

인 터네 트에 의하여 이 초기자료파케 트는 목적 지호스트에 로 경 로조종된 다. 원격호스 
트는 사실 우편체계이고 련결요청은 접수되였다고 가정하자. 원격호스트는 자기의 IP 주 
소를 원천주소로 하고 (192.52.71.4) 우편체계의 합법적인 IP 주소를 목적지 IP 주소 
(206.121.73.10) 로 하여 하나의 IP 머 리부를 만든다. 그 우편체 계 는 새 로운 대 화를 설 정 
하려 는 요청 에 답례하기 위하여 SYN=1, ACK=1 로 설정한다. 이 응답이 오유없 이 경 로 
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기에로 돌아 온다고 가정하자. 

이 점에서 흥미 있는 문제가 제기된다. 경로기는 이 답례를 자기의 WAN 포구에서 
수신하고 자기의 경로표와 상담한다. 경로기는 206.121.73.0 망이 자기의 이씨네트포구에 
직접 련결되였다고 인정한다. 이 체계가 방화벽의 다른쪽에 있다는것을 알아 차리지 못 
하고 그것 은 206.121.73. 10에 하나의 ARP 를 전송함으로써 국부적전달을 시 도한다. 이 
주소를 리용하는 실제 적 인 체 계는 없으므로 ARP 요청은 실패한다. 경 로기는 그 호스트가 
정지되 였다고 가정 하고 원격우편체 계 에 오유통보를 보내준다. 

어떻게 이 문제를 극복하고 경로기가 그 응답을 방화벽에 직접 전달하도록 할것인가? 
다행히도 우리는 이런 상황을 개선할수 있는 몇가지 선택항목들을 가지고 있다. 

경로기에서 ARP 를 고치기 

만일 그 경로기가 정적 ARP 항목들을 지원한다면 방화벽의 외부대면부의 MAC 주소를 
IP 주소로 넘기기하는 하나의 가짜 항목을 그 경로기에 만들수 있다. 방화벽이 
206.121.73. 10에 대한 파케트를 수신하면 그것은 더는 ARP 방송을 전송하지 않아도 된다. 
경 로기 는 ARP 캐 쉬 를 조사하여 만든 정 적항목을 찾고 그 파케 트를 방화벽 에 로 직 접 전달 
한다. 

만일 그 경 로기 가 Cisco 의것 이 라면 다음의 명 령 으로 전체 구성 방식 에 서 이 항목을 
만들수 있다. 

arp {ip address } {hardware address } 


일러두기 

방화벽 의 외 부 MAC 주소를 얻 기 위하여 방화벽 의 외 부주소에 Ping 을 보내 고 경 로기 
의 ARP 캐쉬를 볼수 있다. 이렇게 하면 경로기가 기대하는 형태로 MAC 주소를 연시 
하게 핀다. 


모든 경로기가 다 정적 ARP 항목을 만드는것을 지원하지는 않는다. 만일 이 경로기들 
중 어느 하나를 계속 쓰고 있다면 다른 하나를 더 선택하여 해보는것이 좋다. 

경 로기 에 서 정 적 ARP 항목을 구성하는것 의 유일한 결 함은 만일 방화벽 과 경 로기 사이 
에 있는 토막에 여 러개의 장치 들을 가지 고 있 다면(다른 경 로기 나 또는 보호되 지 않는 봉 
사기 와 갈은) 이 변환된 주소에 도달하기 위해서 매 장치 가 하나의 정 적 ARP 항목을 필요 
로 하게 된다는것이다. 


방화벽에서 ARP 를 고치기 

또한 NT 봉사기 가 변환된 주소에 따라 ARP 요청 에 응답하도록 함으로써 방화벽우에 
서 이 문제를 해결할수 있다. 이것을 대리자 ARP 라고 부르며 이것은 UNIX 플래트홈에서 
의 일반적인 특징이다. 그런데 NT 는 다른 IP 주소들에 대한 대리자 ARP 를 수행하기 위 
한 내 장된 방법 을 가지 고 있지 못하다. 다행 히 도 우리 는 방화벽 -1 쏘프트웨어 를 통하여 
대 리 자 ARP 를 구성 할수 있 다. 
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죽 __ £l 

대 부분의 UNIX 기 계 들은 -p 스위 치 를 가지 고 정 적 ARP 를 지 원 한다. 이 스위 치 는 
UNIX 기 계 가 그 지 정 된 IP 주소를《 발표》하게 하거 나 또는 그것 을 위 한 대 리 자로 
서 동작하게 한다. 만일 방화벽이 UNIX 우에서 돌고 있다면 이것은 NAT 주소와 관 
련하여 ARP 문제를 극복하게 될것 이 다. 


우리의 ARP 문제에서 \%fwl 秋 state 등록부에서 하나의 파일을 만들어 야 한다. 파일의 
이름은 local.arp 라고 한다. 이 파일에서 매 정적 으로 넘기기된 IP 주소를 방화벽의 외부 
대 면부의 MAC 주소와 련관시키는 행 당 하나의 항목을 만들어 야 한다. 매행의 형 식은 다 
음과 같은 모양을 가진다. 

206.121.73.10 00-00-0C-34-A5-27 

체계를 재기동하면 방화벽은 목록의 항목들에 대한 ARP 요청들에 응답하기 시작 
한다. 


둑 __°1 

이 방법 의 유일 한 결 함은 10개 또는 그이 상의 항목들을 만든다면 일 치하게 동작하 
지 않는다는것이다. 체계가 얼마나 자주 응답할것인가 하는것은 그것이 시간상으로 
얼마나 바쁜가 하는데 달려 있다. 만일 변환하여야 할 많은 IP 주소들을 가지고 있 
다면 다른 방법들중 하나를 통하여 NT 에 대한 대리자 ARP 를 극복하는것을 보아야 
한다. 


경로변화에 의한 ARP 고치기 

물론 NAT 주소에 대 한 ARP 를 수정하는 가장 쉬 운 방법 은 ARP 가 결 코 전송되 지 않 
도록 담보하는것이다. 자기의 부분망주소체계와 경로표들을 변화시켜 경로기가 그 정적 
NAT 주소들이 국부적 이라고 생각하지 않도록 함으로써 이것을 할수 있다. 

실례로 자기의 ISP 에게로 가서 이미 받은것에 추가하여 하나의 새로운 합법적인 부 
분망주소를 달라고 요구하였다고 하자. 완전한 류형 C 주소공간을 요구하는것이 아니라 
부분망마스크로서 255.255.255. 252를 리 용하는것 을 요구한다. 대 부분의 ISP 들은 이 요구 
를 들어 줄것 이 다. 그것은 그 망이 두개의 호스트만을 지원하고 있고 또 ISP 들은 보통 
점대점 WAN 련결에서 리용하기 위하여 이 증가분으로 갈라 진 주소공간을 가지 고 있기때 
문이다. 


일러두기 

만일 ISP 가 추가적 인 주소공간을 주지 않는다면 이미 받은 주소공간을 부분망으로 
가를수 있다. 


일 단 이 주소공간을 얻 었 다면 그것 을 리용하여 경 로기 와 방화벽 사이 에 있는 망을 처 
리하여 야 한다. 실례 로 만일 ISP 가 망주소 206.121.50. 64를 넘 겨 주었 다면 경 로기의 이 
써 네 트대 면부에 206.121.50. 66을 리 용할수 있 다. 다음에 경 로기 에 하나의 경 로항목을 만 
들어 206.121.73.0 망에로의 가장 좋은 경로는 방화벽의 외부대면부 (206.121.50.66) 를 통 
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하는것 이 라고 알리게 하여 야 한다. 

일러두기 

만일 방화벽의 외부 IP 주소를 변화시 킨다면 새로운 사용권열쇠를 받아야 할것 이 다 

그러면 경로기는 더는 그것이 정적으로 넘기기한 주소들에 대하여 국부적이라고 
각하지 않게 되며 이 주소에 대한 ARP 요청도 더는 보내지 않게 된다. 경로기는 자 7 
경로표에 따라 이것이 국부호스트가 아니라는것을 알게 되며 따라서 그 파케트를 ^ 
도약에 전송하여 야 하는데 다음 도약은 바로 그 방화벽 이 다. 

방화벽-1규칙들의 동작 

요구되 는 망객체 들을 만들었으므로 이제 는 그것들을 방화벽규칙들에 리용하여 소 









하여 포구번호대신에 봉사이름을 사용하고 있다. 아래에 매개 렬에 대한 서술을 준다. 

No 기 준을 제 공하기 위하여 매 개 규칙 을 번 호로 표시한다. 

Source 이 규칙 에 의 하여 영 향을 받게 되 는 원 천 호스트 또는 망을 표시 한다. 
Destination 이 규칙 에 의 하여 영 향을 받게 되 는 목적 지 호스트 또는 망을 표시 
한다. 

Service 이 규칙 의 영 향을 받는 봉사포구번 호를 표시 한다. 

Action 원천，목적지 그리고 봉사를 한조합으로 하였을 때 파케트에 대하여 무 
엇 이 진행 되 는가를 결정한다. 선택 항목들은 다음과 같다. 

Accept 통과시킨다. 

Drop 원천에 알리지 않고 그 파케트를 제거 
Reject RST=1 인 파케트를 그 원천에 보낸다. 

User Auth 련결을 위 하여 사용자인증을 실시 
Client Auth 련 결 을 위 하여 의 뢰 기 인 증을 실 시 
Session Auth 련결을 위 하여 대화인증을 실시 

Encrypt 나가는 파케 트를 암호화하고 들어 오는 파케 트를 받아 들이 고 
부호화한다. 

Client Encrypt SecuRemote(Check Point 의 VPN 의 뢰 기 )통신만을 허 용 

Track 이 규칙 이 정 합될 때 무엇 이 진행 되 여 야 하는가를 결정 한다. 선택 항목 
들은 다음과 같다. 

Ignore 그림 기 호에 의 하여 표시 되 지 않는다. 이 항목을 비 워 놓으면 등 
록파일항목을 만들지 않는다. 

Short log entry 원천 IP 주소와 목적지 IP 그리고 포구주소를 기록한다. 
Long log entry 우의 항목에 원천포구와 파케트크기를 더 기록한다. 
Account 계산등록파일에 항목을 쓴다. 

Alert 특수한 미리 정의된 작용을 한다. 

Mail 등록파일항목을 포함하는 하나의 전자우편을 보낸다. 

SNMP Trap 하나의 SNMP 통보를 넘긴다 (Properties Setup 창문의 Log 
and Alert 에서 , SNMP Trap Alert 마당에서 정의된). 

User defined 사용자의 주문에 따르는 동작을 수행한다. 

Install On 어느 체계에 대하여 그 규칙 항목이 집행되여야 하는가를 정의 한다. 
기정은 관문인데 이것은 관문으로서 정의된 모든 망객체들을 포함한다. 
또한 매 규칙 을 선택 적 으로 설 치할수 있다. 

DST 목적지 로 정의된(보통 봉사기 ) 망객체들에서 들어 오는 자료흐름을 
표현 

Src Dst 와 류사한데 나가는 자료흐름을 표현한다(그것은 의뢰기 에서 시 
작된 다.). 

Router 규칙들은 모든 경로기들에서 집행된다. 

Integrated FireWall 규칙들은 모든 통합된 방화벽들에서 집행된다. 
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Target 규칙들은 들어 오는 그리고 나가는 자료흐름들에서 특정의 목표에 
적용된다. 

Time 이 규칙 이 어느 시간，요일，날자에 집행되 여 야 하는가를 결정 한다. 실 
례 로 규칙 3 에 서 Time 이 5:00 PM to 8:00 AM 으로 변경되 였 다면 사용자 
는 작업 시 간 이 후에 만 인터네 트에 접 근할수 있다. 여 러개의 시 간객체를 
가질수 있는 새로운 집단객체를 만들수도 있는데 이것은 특정의 규칙에 
집 체 적 으로 (집 단으로서 ) 적 용된 다. 

Comments 규칙의 목적을 서술하는 본문을 첨부할수 있게 한다(이 렬은 그림 
7-13 에서 부분적으로만 보여 준다.). 


규칙모임에 대한 리해 

그림 7-13 에서 보여 준 매 규칙들을 간단히 고찰하자. 이 규칙들이 자기의 환경에 
적합하다고 생각되면 자유롭게 적용할수 있다. 

규칙 1 은 내부망으로부터 시 작하는 모든 NetBIOS 자료흐름들을 막되 등록파일에 등 
록하지 말것 을 방화벽 에 지 시한다. Windows 기 계 들은 분당 한번씩 이 름정 보를 방송한다. 
이 항목들은 등록파일을 빨리 채울수 있으며 실제 로 관심하는 정 보들을 제거 하기 어 렵게 
만든다. Track 렬을 공백으로 하면 등록파일에 이 자료흐름을 기록하지 않는다. 

규칙 2는 방화벽을 절대 통과하지 못하게 하려는 봉사를 막는데 리용된다. 이것은 
침 입의 효과를 최 소화하는데 리용될수 있다. 실례 로 Web 봉사기 가 공격을 받아 손상되 였 
다고 하자. 공격 자는 내부환경 에 대 한 보충적 인 정보를 얻기 위하여 원격위 치 에로 
SNMP 정 보를 전송하려 고 시 도할수 있다. 대 부분의 기 관들은 인 터네 트접 근과 관련 하여 
보통 매 우 완만한 방책 을 가지 고 있으므로 이 정 보는 망을 떠나도록 허 용될 것 이 다. 규칙 
2는 이 자료흐름을 막을뿐아니 라 관리 자에게 어떤 수상한 일 이 생겼다는것을 알린다. 

규칙 3 은 앞의 규칙 들에 의하여 차단된 봉사들을 제 외 하고 내 부체 계 가 요구되 는 임 
의의 형 식의 통신을 수행할수 있게 한다. 경 로기접 근목록과 마찬가지 로 방화벽- ；[ 은 규칙 
들을 순서 대 로 처 리하며 자료흐름들은 가장 잘 맞는 조건에서가 아니 라 처 음으로 맞는 
조건에 기초하여 평가된다. 

규칙 4 와 5 는 각각 Web 봉사기와 우편중계기로 가는 허용가능한 자료흐름을 받아 를 
이게 한다. 이 체계들은 격리된 DMZ 에 위치하고 있기때문에 규칙 6 은 우편중계기가 내 
부우편체계에로 SMTP 통보문들을 전달하게 한다. 

이 규칙과 규칙 7 이 결합되면 DMZ 로부터 내부망에로 가는 다른 자료흐름들은 허용 
되 지 않는다. 또한 이것은 공개봉사기 들중 하나가 손상되 였을 때 내 부망을 보호하는데서 
도 도움이 된다. 

규칙 8은 우편중계 기 가 인 터네 트밖에 있는 호스트들에 통보문을 전달하도록 하는데 
리용된 다. 

규칙 9 는 수상한 활동들을 찾는다. 특히 TCP echo 와 문자발생 기봉사에 련결 하려 고 
시도하는 자료흐름들을 찾는다. 이 봉사들은 많은 경우 약점 으로 되는것으로 알려 져 있 
다. 내부체 계 들은 사실상 이 봉사를 제공하지 않는다. 규칙 9 는 특히 스캐 너 와 갈은 어 
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떤것이 망을 조사하고 있지 않는가를 감시하도록 설정되였다. 이러한 자료흐름이 검출된 
다면 방화벽 이 간단히 하나의 등록파일항목을 만드는것으로 그치는것 이 아니 라 추가적 인 
작용을 취하도록 하여 야 한다. 

그러 면 왜 모든 리 용되지 않는 포구들을 감시 하지 않는가? 만일 공격 자가 포구스캐 
너를 사용하고 있다면 이 규칙은 수백수천번 평가될수 있다. 바라는것은 방화벽이 진행 
중의 공격을 경고할 때 우편체계가 봉사거절을 하도록 하는것이다. 

규칙 10은 무조건적 인 거 부이다. 이 규칙 은 다음과 같은 내 용을 규정 하고 있다. 
《우에서 언급된 규칙들중 하나라도 맞지 않는 모든 자료흐름은 거부된다.》 

규칙들의 변경 

한개 행 을 추가하여 새 로운 규칙항목을 만들기 위 하여 Edit menu 선택 항목을 선택 한 
다. 매 새로운 행은 다음과 갈은 기정의 규칙을 가지고 만들어 진다. 《모든 자료흐름은 
거 부한다.》파라메 터 들을 변화시 키 기 위 하여 매 개 칸에서 오른쪽찰칵을 하고 Add 를 선 
택 한다. 

실례 로 한 규칙 에서 Source 항목을 변경시 키 기 위하여 Source 칸에서 오른쪽찰칵을 하 
고 내 리펼침 차림 표에서 Add 를 선택 한다. 그러면 이 새 규칙의 원천파라메 터들을 규정 하 
는데 첨가할수 있는 적절한 객체들의 목록이 나타난다. 보안방책을 실현하는데 필요한 
모든 규칙들을 만들 때까지 이 과정을 계속하면 된다. 

방화벽속성변경 

규칙기지 는 자료흐름파라메터 들을 구성하는데 필요한 유일 한 장소가 아니 다. 방화벽 
그자체의 속성들을 변경시킬수도 있다. 이것을 하기 위하여 Security Policy -1 차림표로부 
터 Policy — Properties 를 선택한다. 

Properties Setup 화면을 그림 7-14 에서 보여 준다. 


죽 __°1 

이 화면은 규칙 기 지 밖에서 처 리 되 여 야 하는 자료흐름들을 정 의하므로 좀 복잡하다. 
다른 말로 하면 규칙기 지편집 기안에서 특별히 정 의되지 않았다고 해 도 처 리되 여 야 
하는 봉사들을 정 의한다. 


Accept RIP 항목이 기정으로 선택되지 않는다는것을 주목하여 야 한다. 이 선택항목은 
방화벽 에 다음의 내 용을 요구하는것 이 다. 《규칙기지 를 처 리 하기전에 RIP 자료흐름을 접 
수하라.》방화벽에 RIP 갱신들을 접수하도록 요구하는 규칙을 가지고 있지 않아도 어쨌 
든 방화벽은 그렇게 할것 이 다. 만일 공격자가 망에서 방화벽-1을 사용하고 있다는것을 
안다면 그것 은 경 로표를 혼란시 키 기 위하여 그 방화벽 에 틀린 RIP 갱 신들을 전송하려 고 
시 도할수 있다. 이것은 가능할 때 마다 정적경 로조종이 리용되 여 야 한다는 또 하나의 리 
유로 된다. 
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속성들은 언제 처리되는가? 

망의 보안방책과 일치하도록 이 속성들을 구성하지 않는다면 이것은 중요1 보안상 
의 구멍으로 된다. 다음의 설정들을 리용하여 매 속성들이 언제 처리되는가를 f 정할수 
있 다. 

First 규칙기지를 처리하기전에 이 자료흐름을 접수 

Before Last 규칙기지가 특별히 그것들을 막지 않는 한 이 자료흐름- - 접수 
Last 규칙기지에서의 마지막규칙후에 이 자료흐름을 처리. 만일 :: 것이 특 
별히 차단되지 않는다면 통과시킨다. 만일 마지막규칙이 《임 5 의 원천 
으로부터 임의의 목적지로 가는 모든 자료흐름을 막으시오.》 f 는것이 
면 이 속성은 평가되지 않는다. 
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그러면 왜 이것이 보안에서 중요한 착오로 되는가? 

생활에서 보는 많은 문제들에서와 같이 보안도 방화벽을 보다 사용하기 1 게 하려 
는 노력에 의하여 약화될수 있다(물론 가장 낮은 공통분모를 요구하지만). 

실례 로 방화벽관리 자는 자기 가 경 로갱 신을 처 리 하기 위하여 RIP 자료흐름떨 허 용하 
여 야 한다는것 을 리 해 하지 못할수 있 다. 관리 자는 리 해 력 이 좀 느려 서 내 부처 계 가 호 
스트이름을 IP 주소로 변환할수 있도록 하기 위 하여서는 DNS 질문들을 통과시? 야 한다 
는것을 깨닫지 못할수 있다. 이러한 속성들은 우와 같은 오유들을 피하기 위동 여 기정 
에 의하여 가능으로 만들수 있다. 소비 자의 교육을 개 선할대 신에 회 사들은 사기 들의 
제품이 제공하는 보안의 수준을 맞춤으로써 이것을 보상한다. 


SYNDefender 표쪽 

평가하여 야 할 마지막 Properties Setup 표쪽은 SYNDefender 표쪽이 다. SYNDefender 는 
방화벽 이 내부체계를 SYN 에 기초한 공격으로부터 보호한다. 

제: 3 장에서 TCP 통신을 고찰할 때 두 호스트가 대화를 시작하기전에 TCP 련결신호를 
교환한다는것을 보았다. 이 련결신호를 주고받는 동안에 

1. 원천지는 목적지에 SYN=1 인 하나의 파케트를 보낸다. 

2. 목적 지 는 원천지에 SYN=1, ACK=1 로 응답한다. 

3. 원천지는 목적지에 ACK=1 인 하나의 파케트를 보낸다. 

4. 원천지는 자료전송을 시작한다. 

W __21 

TCP 호스트는 두개의 통신대기렬을 가지고 있는데 작은것은 TCP 련결신호를 실현하 
는 대 화를 위한것 이 고 큰것 은 완전히 설정 된 대 화를 위한것 이 다. SYN 공격 의 목표 
로 되는것도 작은 대기렬이다. 

목적 지호스트가 첫 SYN=1 파케 트를 수신하면 그것은 이 련결요청 을 작은《 처 리중》 
대기렬에 보관한다. 대화설정은 좀 빨리 진행되게 되여 있으므로 이 대기렬은 작고 비교 
적 적은수의 련결요청들만을 보관할수 있다. 

SYN 공격은 이 작은 대기렬을 련결요청들로 차넘치게 한다. 목적지체계가 하나의 응 
답을 넘길 때 공격하는 체 계는 응답하지 않는다. 이것은 그 련결요청 이 시 간한계 가 초과 
되고 그 항목이 제거될 때까지 그 작은 대기렬에 남아 있게 한다. 이 대기렬을 가짜련결 
요청들로 가득 채움으로써 공격하는 체계는 그 체계가 합법적인 련결요청들을 받지 못하 
게 한다. 그러므로 SYN 공격은 봉사거부공격으로 간주된다. 

SYNDefender 표쪽은 이 문제 를 해 결 하기 위 한 두가지 방도를 제 공한다. 방화벽 이 다 
음의 두가지 로 기 능하도록 구성할수 있 다. 

• 피동 SYN 관문 
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피 동 SYN 관문으로서 방화벽 은 들어 오는 련결요청 들을 대 기하다가 응답 SYN =1, 
ACK =1 파케트를 전송체계호스트에로 속여서 돌려 보낸다. 이것은 련결요청이 내부체계 
에 도달하지 못하게 한다. 적 당한 ACK =1 이 전송체계로부터 수신되면 방화벽은 내부체 
계와 련결신호를 나누고 두 호스트사이에서 자료흐름을 통과시키기 시작한다. 결과적으 
로 방화벽은 SYN 대 리자와 같이 동작하는것으로 된다. 

이 방법의 결 함은 초기대 화설정 에서 약간의 지 연이 있는것 이 다. 또한 방화벽 이 모든 
련결요청들을 다 중재하므로 방화벽에서 많은 처리가 요구된다. 실례로 하나의 Web 열람 
기는 Web 페지를 내 리적재할 때 여 러개의 대화를 만들수 있다. 도형，본문 그리 고 그림 
기호에 대하여 각각 하나의 대화가 설정될수 있다. 가장 인기 있는 싸이트들은 최소 50 
개 의 대 화를 만들고 있으며 그림 이 많은 어 떤 싸이트들은 300개 의 동시 적 인 련결을 만드 
는것 도 있 다. 추가적 인 보호로서 피 동 SYN 관문은 시 간한계 (기 정값은 10 s ) 와 허 용되 는 최 
대 대 화수 (기 정 값은 5000) 를 규정 할수 있 게 한다. 

다른 하나의 방법 은 방화벽 을 SYN 관문으로 설 치하는것 이 다. 이 방식 에 서 방화벽 은 
SYN =1 요청과 SYN =1, ACK =1 응답이 그 방화벽을 그저 통과하게 한다. 그러 나 이 점에 
서 방화벽은 련결요청을 완성하고 그 대화를 큰 대기렬로 이동시키기 위하여 내부체계에 
ACK =1 로 응답할 때 방화벽 은 이 한 파케 트는 막고 그 대화의 나머 지 는 정 상적 으로 허 
용한다. 

원격호스트가 상당한 시 간동안 응답하지 않는다면 방화벽 은 내 부체 계 에 RST =1 을 보 
내여 그 대화를 끝낸다. 여기서 유일한 문제는 공격이 진행되고 있다면 요구되지 않는 
대화를 내부체계에 만들어 놓을수 있다는것이다. 이것은 전형적인 문제로는 되지 않는다. 
그것은 동작중의 대화대기렬은 여러 대화들을 보다 쉽게 취급할수 있기때문이다. 

이 방법은 또한 SYN 중계기방법 에서 생 기는 설정지연문제를 해결할수 있다. 

보안봉사기의 동작 

보안봉사기 는 방화벽 이 특정봉사를 위한 련결 을 대 리하게 하며 자료흐름조종을 더 
잘할수 있게 한다. 이 것은 리용되 고 있는 봉사가 아니 라 자료의 내 용에 기 초하여 려 과결 
정을 하려고 할 때 쓸모가 있다. 

실례 로 InterNIC 에 등록된 다음과 같은 3개의 령 역 이름들이 있다고 가정 하 
자. : foobar . com ， fubar . com , bofh.com 

foobar . com 이 기 초령 역 이 름이 지 만 이 3개 의 령 역 모두에 대 하여 우편을 수신하려 고 
한다. 이것은 매 사용자에게 적용하면 ftuttle @ foobar . com , ftuttle @ fubar.com 그리고 
ftuttle @ bofh . com 은 다 같은 사람에게로 경로조종되여야 한다. 그러나 나가는 우편은 
항상 foobar . com 령 역 에 서 시 작되 는것 으로 나타나야 한다. 

우편봉사기 가 여 러개의 령역 들을 취급하도록 구성하려 고 한다면 많은 일을 하여 야 
한다. 많은 우편봉사기 들은 매 사용자에 대 하여 3개 의 서 로 다른 우편주소들을 구성 할것 
을 요구한다. 보통 첫 번째 것 은 자동적 으로 만들어 지 며 (ftuttle @ foobar . com 파 같이 ) 다 
른 두개에 대해서는 (ftuttle @ fubar . com 파 ftuttle @ bofh . com ) 별명을 수동으로 만들어야 
한다. 이 추가적 인 항목들은 관리시 간을 증가시 키 고 타자오유나 항목을 빠뜨리 는것 과 같 
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은 오유가능성을 끌어 들이게 된다. 

오랜 우편봉사기들은 여러개의 우편령역들을 관리하는 능력을 가지고 있지 못하다. 
우편관리자는 오랜 우편봉사기들에 하나의 우편령역만을 구성할수 있다. 이것은 다른 령 
역에로 우편이 향하게 하거나 거절되게 할수 있다. 

한가지 보다 간단한 해결책은 SMTP 보안봉사기를 구성하여 목적지 령역이름에 대 하 
여 들어 오는 우편들을 분석 할수 있게 하는것 이 다. 만일 령 역 이름 fubar.com 또는 
bofh.com 이 검출되 였다면 보안봉사기 가 령 역 이름 foobar.com 으로 그것을 교체 하게 할수 
있다. Foobar.com 에로 주소지정된 우편은 변경없이 통과할수 있다. 이것은 우편봉사기 
에 도착하는 모든 들어 오는 우편통보문들이 항상 foobar.com 이 라는 목적지 령역주소를 
가질것 이라는것 을 의 미한다. 우편봉사기 는 하나의 령 역이름만을 알고 있으므로 매 사용 
자에 대하여 또 다른 우편주소를 만들지 않아도 된다. 


SMTP 보안봉사기를 구성하기 

SMTP 보안봉사기 를 리용하기 위 하여 서 는 먼저 방화벽 - 1 구성 도구프로그람을 통하여 
그것을 가능하게 하여야 한다. 방화벽-1 구성도구에 대한 절에서 이 봉사기를 어떻게 가 
능으로 하는가를 고찰하였으며 이것을 그림 7-5 에서 보여 주었다. 일단 SMTP 보안봉사 
기 가 가능으로 되 면 Security Policy-1 표쪽에 서 SMTP 자원들을 정 의하여 야 한다. Security 
Policy- 1 표 쪽의 기본 차림표에서 Manage — Resources 를 선택한다. 그러면 Resource 
Management 화면이 나타난다. 이것을 처음으로 돌린다면 그것은 아무런 항목도 포함하고 
있지 않을것 이 다. New 를 찰칵하고 SMTP 를 선택한다. 그러 면 그림 7-15 에 보여 준 
SMTP 정 의칸이 나타날것 이 다. 



foobar.com 에 전송된 들어 오는 우편을 취급하는 자원을 구성하는것부터 시 작한다. 
Inbound_foobar 와 같은 서술적이름을 리용할수 있는데 이 정의는 그것 이 일 단 보안방책 에 
첨가된 이상 쉽게 인식될수 있다. 우편봉사기마당에서 우편을 전송하려고 하는 우편봉사 
기 의 IP 주소를 입 력한다 (지 급우편배 달에 IP 주소를 리용하라. 방화벽 은 호스트이 름을 변 
환하지 않아도 된다.) . Error Handling Server 마당에서 오유통보문을 전송하려 고 하는 우 
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편체 계의 IP 주소를 입 력한다. 이 것은 Mail Server 마당에서 정의한 IP 주소와 같은것 일수 
있 다. 

Exception Tracking 은 이 자원이 처 리 하는 모든 전자우편통보문들을 등록파일 에 등록 
할것 인가를 정 의한다. 하나의 경 보를 보내 는 선택 항목도 있다. 또한 Notify Sender On 
Error 검 사칸을 선택 할수 있는 선택 항목을 가지 고 있 다. 만일 그 자원 이 들어 오는 우편 
통보문과 맞는데 보안봉사기는 그 통보문을 전달할수 없다면 이것을 검사하는것은 하나 
의 오유통보문이 원래 의 송신자에 게 보내 졌 다는것 을 의 미한다. 

이제는 그림 7-16 에서 보여 준것 처 럼 Match 표쪽을 구성 할수 있다. 

Match 표쪽의 구성은 매우 간단하다. Sender 또는 Recipient 마당에서 이 자원파 맞추 
려 고 하는 본문을 입 력한다. 별표 (*) 는 만능기 능으로 동작하며 임의의 문자렬과 정 합될 
수 있다. Recipient 마당은 @ foobar.com 으로 끝나야 한다. 이것은 foobar.com 령 역 을 위 하 
여 모든 들어 오는 우편들을 맞추어 볼것 이 다. 

전 자우편의 머 리부에 그 어 떤것 을 다시 쓰지 않도록 하기 위하여 이 특수한 자원 을 
구성하게 된다. 간단히 OK 를 찰칵하면 이 항목이 기 억된다. 



이제 는 별명 을 만들기 를 원하는 령역 들에 대 한 항목들을 만들어 야 한다. Resource 
Management 화면으로부터 New 를 다시 찰칵하고 SMTP 를 선택한다. 그러 면 그림 7_17 에 
보여 준것과 같은 새 로운 SMTP Definition 칸이 나타나게 된다. 

General 표쪽을 선택하고 이 자원에 서술적 인 이름 (inbound_fubar.com 파 같은) 을 준다. 
Fubar.com 으로 주소지정된 우편은 foobar.com 파 같은 우편체계에 전달되므로 foobar.com 
항목에 서 리 용된것 과 같은 Mail Server 및 Error Handling Server IP 주소를 입 력 한다. 

Match 표쪽에 서 Sender 마당을 패 런정 합하기 위 하여 다시 별 표 (*) 를 사용하지 만 
Recipient 마당은 항목 * @ fubar.com 을 포함할것이다. 이렇게 하면 이 또하나의 령역 
이름에로 전송된 들어 오는 전자우편주소들을 패턴정합할수 있게 된다. 이것은 다시 
쓰러고 하던 령역이름들중의 하나이므로 그림 7-17 에 보여 준 Action 1 표쪽을 변경시 
켜 야 한다. 
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그림 7-17. SMTP 정 의칸의 Actionl 표쪽 

Actionl 표쪽에서 써넣어 야 할 마당은 Rewriting 마당들뿐이 다. 공백으로 되여 있는 마 
당들은 그대로 둬둔다. 왼쪽의 마당들은 전자우편머리부의 지정된 부분안에 있는 본문을 
정합하려고 시도한다. 오른쪽의 마당들은 만일 패런정합이 발생한다면 이 본문이 무엇으 
로 변경되여야 하는가 하는것을 포함한다. 

첫 번째 Recipient 마당은 문자렬 * @ fubar . com 을 가지 고 있다. 이것은 재 쓰기 하려 고 
하는 주소의 부분이 다. 오른쪽의 Recipient 마당은 문자렬& @ foobar . com 을 가지고 있 다. 

《&》표시는 자원에 《이전의 마당에서 별표 (*) 의 값을 복사하여 그것을 여기에 붙 
이 시 오.》라는것을 요구하고 있다. 이 렇게 하면 새 로운 수신자머 리부에서 갈은 사용자이 
름을 유지 할수 있 다. 나머 지 본문은 그저 자원에 fubar . com 을 foobar . com 으로 바물것 을 
요구한다. 

이 것은 들어 오는 fubar . com 우편에 대 한 SMTP 자원의 구성 을 완성 한다. 다음에 0 K 
를 눌러 Resource Management 화면에로 돌아 간다. Bofh . com 에 대한 SMTP 자원도 만들어 
야 한다. 여기서는 fubar . com 자원을 만들 때와 같은 과정을 반복하되 이름과 패런정합정 
보를 bofh . com 으로 바꾸어 야 한다. 완성 되면 Resource Management 화면을 닫고 이 자원들 
을 보안방책 과 결 합시 키 기 위 하여 Security Policy -1 표쪽에 로 간다. 

그림 7-18 은 매우 간단한 보안방책에 추가된 SMTP 자원들을 보여 준다. 행 1은 방 
화벽을 통과시키려고 하지 않는 모든 자료흐름을 막는다. 행 2는 매우 완만한 보안방책 
을 정의하는데 이것은 모든 내부체 계들이 인터네트에 있는 임의의 봉사에 접근할수 있게 
한다(행 1에서 지적된것은 제외). 

행 3은 SMTP 자원들을 포함하는 항목이다. 이 규칙은 임의의 체계는 skylar (방화벽) 
에 련결 할수 있고 SMTP 통보문을 배 달할 시 도를 할수 있 다는것 을 지 적한다. 그러 면 모 
든 SMTP 통보문은 앞에서 만든 3개 의 SMTP 자원들에 의하여 처 리 된다. 매 개 자원은 행 
3의 Service 칸에서 오른쪽찰칵하고 ADD With Resource — SMTP 를 선택하고 다음에 자원목 
록에서 보여 준 자원의 이름을 선택함으로써 이 규칙에 첨가된다. 

우편봉사기는 행 2에 따라 완전한 인터네트접근을 가지므로 나가는 SMTP 자원은 구성 
하지 않아도 된다. 그 우편체계는 모든 나가는 우편을 직접 완전히 전송할수 있어 야 한다. 


238 





E9 an S 、 •，鼻* 幻 ■• ᅩ P :- if 1, J ■과社 ■세 *■ b. V 





그림 7-18. SMTP 자원을 리용하는 보안방책 


일러두기 

현재의 규칙기지의 한가지 부가적인 리득은 그것이 우편체계가 스평중계기로 리용 
되 지 않게 한다는것 이 다. 방화벽 은 3개 의 령역 들중 하나에 로 가는 통보문만을 허 용 
할것 이 다. 내부우편체 계에는 인터네 트로부터 직접 도달할수 없다. 이것은 우편체 계 
들중 어 느것 도 여 러 수신자에 게 광고를 중계하는 스평중계 기 로 리용될 수 없 다는것 
을 의 미한다. 


규칙들의 설치 

일 반 보안방책 을 반영하여 방화벽 을 구성하였 다면 그 설정 들을 기 억 시 켜 야 한다. 일 
의적 인 방책 이름을 만들기 위 하여 Security Policy - l 의 차림표에서 항상 File^-Save As 를 
선택하여 야 한다. 이 렇게 하면 후에 이 전의 방책 을 재 기억시키 는 경 우에 일부 수정조종 
을 할수 있게 해춘다. 

앞에 서 만든 변화들을 기 동시 키 기 위하여 방화벽 에 이 방책 을 설 치하여 야 한다. 
Security Policy -1 차림 표에서 Policy —" Install 을 선택 한다. 그러 면 방화벽 방책 이 설 치될 모든 
호스트들을 연시하는 하나의 대 화칸이 나타나게 된 다. 최 소로 자기 의 방화벽 에 대 한 객 
체 를 보아야 한다. 만일 여 러개의 방화벽 을 관리 하고 있거 나 또는 특정의 경 로기 에 접 근 
조종목록을 설치하고 있다면 이 장치들도 이 대화칸에 나타나야 한다. 이 정보를 확인하 
면 방책 들을 선택 된 호스트들에 설 치 하기 위하여 0 K 를 찰칵한다. 
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그러면 그림 7-19 에 보여 준 Install Security Policy 대화칸이 나타날것 이 다. 이 대화칸 
의 정보는 방책서술이 오유없이 를파일되였으며 그것이 방화벽에 성과적으로 설치되였다 
는것을 알리는것 이 다. 오유가 나타나지 않았다면 Close 를 찰칵한다. 그러면 이 방화벽은 
사용할 준비가 된것으로 된다. 



오유가 나타나면 오유통보문을 구체적으로 보아야 한다. 보통 오유는 규칙들의 충돌 
로 인하여 생 긴다. 실례 로 하나의 규칙 이 한 특정의 체계 에 대 하여 완전한 인터네 트접근 
을 가진다고 정의 하고 있는데 후에 그 같은 체계 가 FTP 리용이 허용되지 않는다고 정의 
하면 충돌이 발생하게 된 다. 

규칙기지를 설치할 때 방화벽은 먼저 충돌이 없는가를 검사한다. 만일 당신이 규칙 
들을 설 치 하기전에 규칙충돌이 없는가를 확인 하려 고 한다면 Policy ᅳ Verify 항목을 선택 
할수 있다. 그러나 경험에 의하면 이 검사는 충분하지 못하다. 규칙모임이 Verify 검사를 
통과하는것이 가능하며 다만 설치과정의 문제만을 보여 준다. 

요 약 

이것으로 Check Point 방화벽- 1 에 대한 고찰을 끝마친다. 이 장에서 우리는 방화벽_ 
1이 왜 가장 인기 있는 방화벽제품들중의 하나로 되고 있는가를 보았다. 

또한 Windows NT 봉사기에서의 설치 및 설정과정들도 고찰하였다. 이제는 이 제품 
을 자기의 망환경 에 어떻게 배비할것 인가에 대 하여 잘 알게 되 였다. 

다음장에는 망경계선안에서 보안을 조종하는 방법들을 고찰한다. 침입검출체계가 방 
화벽과 결합되여 매우 안전한 환경을 창조할수 있다는것을 보게 될것 이 다. 
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제 8 장. 침입검출체계 


침입검출체계 (IDS) 는 최근에 출판물들에 많이 실리고 있는 아주 새로운 기술이다. 

이 기 술은 3 〜 4 년밖에 안되 였지 만 망보안에 서 혁 신적변혁 을 가져 올수 있 다는 약속을 개 
발자들과 할수 있을 정도로 전망이 크다. 사실상 어느 한 개발자는 자기들이 만든 IDS 
가 방화벽 에 대 한 요구를 완전히 취소한다고 대 담하게 선언하였다. 

분명히 IDS 는 현존의 보안구조를 교체함이 없이 그 기능을 높이는 방법이라고 볼수 
있 다. 

IDS 에 대하여 자주 제기되는 질문 

침입검출체계를 리해하기 위하여 여러명의 망규약전문가가 망분석기를 가지고 망자 
료흐름을 감시하고 있다고 생각하자. 이 전문가들은 공격자가 공격을 시도하는 전 과정 
을 살피면서 어떤 이상한 자료흐름이 망에 발생하면 그것을 알아 내기 위하여 매 자료묶 
음을 부지런히 검사한다. 만일 이상한 자료흐름을 발견하면 그들은 인차 망관리자에게 
발견한 내용을 통보한다. 

이러한 방식으로 사람의 기술을 대신하는 침입검출체계가 확립되게 된다. IDS 는 
망분석기와 같이 망으로 통과하는 모든 자료흐름을 장악한다. 일단 이 정보를 기억기 
로부터 읽 었다면 체계는 이 미 알려 진 많은 공격모형들과 그 파케 트를 비 교한다. 실 
례로 어느 한 호스트가 접속완결시도가 없이 다른 호스트에로 SYN 묶음들을 반복해서 
보내고 있다는것을 알게 되면 IDS 는 이것을 SYN 공격으로 판단하고 적절한 대응책을 
취하게 된다. 좋은 IDS 는 자기의 자료기지에 침입한 100 개이상의 공격에 대처할수 
있 다. 

대응작용은 현재 리용하고 있는 구체적인 IDS 체계와 그것을 어떻게 구성했는가에 
관계 된 다. 모든 IDS 체 계 들은 비 정 상사건들을 관리 에 기 록하는 기 술을 가지 고 있다. 일 
부 체 계 들은 망관리 자가 후에 해 석할수 있도록 새 로운 자료흐름묶음을 획 득하여 기 억 시 
킨다. 다른것 들은 전자우편통보 또는 본문과 갈은 경 보를 보내 도록 구성되 여 있 다. 

많은 IDS 체계들은 련결의 량끝을 재시동함으로써 이상한 전송을 중단하게 할수도 
있 다. 

또한 려 과규칙 을 변경 시 키 고 공격 를퓨터 를 봉쇄 하기 위하여 방화벽 또는 경 로기 와 
호상작용하는것들도 일부 있다. 

이 매 개 작용들에 대 한 우결 함들을 이 장의 마지 막에 상세하게 서 술하였 다 . 

IDS 는 보통 2 개의 부분으로 가론다. 

• 수감기 이 것은 자료흐름을 보관하고 분석하는 기능을 수행한다. 

• 조종탁 이 조종탁을 통하여 수감기 를 관리하며 모든 보고기 능이 실행된다. 

침 입 검 출체 계 들은 매 우 많은 자원을 소비 한다 . 

개 발자들은 보통 256MB 의 RAM 과 인 텔 300MHz 펜리움 IE 혹은 Pro processor (또는 


241 




수감기가 UNIX 에서 가동하는 경우에는 RISC 방식처리기)를 장비한 체계우에서 수감기를 
동작시 킬것 을 권고하고 있다. IDS 가 모든 자료흐름을 기 입 하기 때 문에 많은 디 스크공간 
이 자체자료기 지용으로 요구된다. 대 략 100 MB 의 디 스크공간이 보통 권고되 지 만 자료기 
지를 자주 지워 버러지 않거나 또는 망을 통한 자료흐름이 많은 경우 총적으로는 더 많 
이 리용할것 을 계 획하여 야 한다. 

조종탁을 가동시키는 체계에 대한 요구는 매개 수감기자료기지를 복사하는데 필요한 
디스크공간을 충분히 남겨 두어야 한다는것외에는 대체로 같다. 

IDS 의 제한성 

지금까지는 IDS 가 아주 좋은 보안장치 인것처럼 말해 왔지만 이러한 체계들도 완전 
하지 는 못하며 자체 의 제 한성 들을 가지 고 있 다. 사실상 잡지 Infoworld 의 대 중특별기 고 
란의 한 저자는 ms 가 2000년말에 가서 생명력을 잃는다고 선언하였다. 

교환망기 술, 불완전한 공격징 후맞추기， IDS 체 계 들에 과부하를 주는 대 량의 망자료 
흐름 그리 고 IDS 체 계 에서 나오는 공격통보를 숨길수 있게 암호화된 망자료들이 그렇 게 
말할수 있는 리유로 된다. IDS 체 계 들이 제때 에 간단히 응답하면서 공격 을 막을수는 없 
다. 그 리유를 알기 위하여 보통의 봉사거부공격 ( DoS ) 이 어 떻게 발생 하는가를 보자. 

눈물방울공격 


눈물방울 ( Teardrop ) 공격 이 체계 에 대 항하여 어떻게 리 용되는가를 리 해 하기 위 하여서 
는 먼저 IP 머 리부안에 토막화편기 마당과 길 이마당을 두는 목적 을 리해하여 야 한다. IP 
머 리 부를 그림 8-1 에 제 시하였 다. 

토막화편기마당은 보통 경 로기 에서 리 용된다. 만일 경 로기 가 다음 토막에 관하여 
너무 큰 파케트를 받는다면 경로기는 그것을 통과시키기전에 자료를 토막처야 한다. 
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그림 8-1. IP 머리부해신 












토막화편기마당은 길 이마당과 함께 리용된다. 그래 야 수신체계 가 정 확한 순차에 따 
라 자료통보문을 재결합할수 있기때문이다. 

토막화편기값으로 0이 수신되였다면 수신체계는 이것이 첫번째 토막친 정보묶음이든 
지 아니면 토막화가 리용되지 않았다고 가정한다. 

만일 토막화가 진행되였다면 수신체계는 자료통보문을 재생할 때 매 파케트안에서 
자료가 어디에 위치하고 있는가를 결정하기 위하여 편기를 리용한다. 비슷한 실례로 번 
호가 붙은 놀이감집짓기블로크 한조를 생각하자. 아이가 번호를 붙인 설계도에 따라 정 
확한 순서로 블로크들을 차례로 놓으면 그는 집도，승용차도 지어 비행기도 만들수 있 
다. 사실상 아이는 자기가 무엇을 만들려고 하는지 알 필요가 없다. 그는 단순히 확정 
된 순차대로 블로크들을 단순히 조립하게 된다. 

IP 토막화편기는 같은 방식으로 동작한다. 편기는 자료통보문 앞면으로부터 얼마나 
멀리 떨어 져서 포함자료들이 위치하고 있는가를 수신체계에 알려 준다. 모든것이 정상 
이라면 이 방식은 자료통보문을 정확한 순서대로 재결합할수 있게 한다. 길이마당은 중 
복이 없다는 사실과 자료가 전송과정에 틀리지 않았다는 사실을 확증검사하는 수단으로 
리용된 다. 

실례로 자료통보문안에 토막 1과 3을 배치하고 다음 토막 2가 너무 크기때문에 3의 
일 부를 덧 쓰게 되 였 다고 하면 토막 2를 배 치하려 고 하는 경 우 문제 가 있 다는것 을 즉시 에 
알수 있을것이다. 이러한 견지에서 만일 적당하게 그것들을 배렬할수 있다면 체계는 자 
료통보문을 알아 볼수 있게 재정렬시키려고 할것이다. 

그것을 할수 없다면 수신체계는 자료를 다시 보내 라는 요청을 보내게 된다. 

거의 모든 IP 탄창들은 중복 또는 자기 토막용으로는 매우 큰 자료라고 하여도 그것 
을 분할할 능력을 가지고 있다. 

눈물방울공격개시 

눈물방울공격 은 정 상크기 의 자료와 0토막화편기 를 가지 는 표준자료파케 트를 보내 는 
것 으로부터 시 작한다. 눈물방울공격 은 초기자료묶음을 보아서 는 표준자료전송과 구별 할 
수 없다. 그러 나 다음에 오는 파케 트들은 토막화편기 와 길 이마당을 변경시 킨것 이 다. 이 
다음의 자료흐름은 목표체계를 허물어 버리기 위한것이다. 

둘째 자료묶음이 수신되였을 때 토막화편기는 자료통보문안에서 이 정보가 어디 
에 배 렬되 여 야 하는가를 알려 준다. 눈물방울공격 에서 둘째 파케트에 대 한 편기는 이 정 
보가 첫째 토막안에서 그 어디든배렬되게 된다는것을 주장한다. 자료마당이 검사되였을 
때 수신체 계 는 이 자료가 첫째 토막의 끝을 넘 어 퍼질 정 도로 크지 않다는것 을 알게 
된 다. 

다른 말로 하면 이 둘째 토막長 첫째 토막을 중복하지 않는다. 즉 그안에 실제상 
충분히 포함된다. 이것은 예견 못했던 오유조건이기때문에 그것을 조종할 기능이 없으며 
결 국 이 정보는 등록기초과 즉 수신체계 의 정 지 를 초래한다 . 어떤 조작체계 의 경 우에 는 
한개의 틀린 파케 트만에 의하여 동작이 정지될수도 있다. 다른것 들은 여 러개의 틀린 파 
케트들이 수신되지 않는 한 정지되지는 않는다. 
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IDS 대 눈물방울 

전형적 인 IDS 가 이 공격 을 어떻 게 대 하는가? 눈물방울공격을 개시할 때 초기파케 
트전송은 표준자료전송과 같이 한다. 방금 본 이 첫 정보파케 트로부터 IDS 가 공격 이 발 
생하고 있다는것을 알리는 방법은 없다. 

둘째 파케트가 전송되였을 때 IDS 는 자료통보문토막을 차례로 놓게 하여 이것이 
눈물방울공격 의 대 표적 인 실례의 하나라는것 을 확증할수 있다. IDS 는 망관리 자에 게 경 
보를 알리며 공격을 중지시키기 위한 방지수단을 만든다. 

하나의 작은 문제가 있다. 만일 공격자가 한개의 틀린 파케트만으로 허물어 버리러 
고 하는 조작체 계 를 운수 좋게 찾았다면 그 공격 이 발생하는것 을 막는것 은 너 무 늦은것 
이 다 . 망관리 자가 자기 의 봉사기 가 방금 정 지 되 였 다는것 을 알게 된 다는것 은 사실 이 지 만 
그들은 아마 성난 사용자들의 여 러번의 호출로부터 도 그것 을 이 미 생 각할것 이 다. 

그래서 침 입검 출체 계는 왜 봉사기 가 정지되 였는지는 말할수 있었지만 첫 위 치 에서 
발생한 공격 은 막을수 없었 다. 앞으로 일 어 나는것 을 막기 위 하여서 는 공격 자가 다시 
공격 하기 전에 체계를 수리하여 야 한다. 

그러면 왜 IP 주소공격을 간단히 막지 못하는가? 공격자는 공격 이 자기의 실제 IP 
주소가 아닌 다른 그 어 떤 곳에 서 온듯이 보이 도록 IP 속임 수를 리용한다. IDS 가 공격 
체계와 동일한 충돌구역에 있지 않다면 속임주소가 리용되고 있다는것을 발견하지 못 
하게 된다. 

이것은 공격자가 원천 IP 주소를 마음대로 변경시키고 성공적인 공격을 계속할수 있다 
는것 을 의 미한다. 

다른 알려 진 旧 S 의 제한성 

1998년 2월 에 Secure Networks 회 사는 몇 개 의 침 입 검 줄체 계 들을 검 사하고 그 결 파를 
백서 로 발표하였다. 검사결과는 공격 자가 공격 을 개 시하여도 원만히 검출하지 못하는 많 
은 약점을 IDS 가 가지고 있다는것을 보여 주었다. 

일부 연구결과들은 좀 감상적 이기는 하지 만 실제 검사과정 에 일부 가치 있는 문제점 
들을 제 기 하였 다. 요약하면 연구는 두가지 문제 에 집 중된다. 즉 조작된 자료에 대 한 
IDS 의 검 출과 IDS 자체 에 대 한 직 접공격 이 다. 연구결과는 감시기 에 기 초하고 있는 침 입 
검 출이 공격 을 결코 믿음직하게 검 출하지 못한다는것 이 다. 

자료조작 

이 결론은 연구중에 있는 어느 한 침입검출체계들도 실제상 IP 를 통하여 통신하는 
체 계 들과 같은 방법 으로 IP 파케 트들을 구성하지 않고 있 다는 사실 에 기 초하고 있 다. 이 
것 은 IDS 가 인식한것 이 그 파케 트흐름안에 서 발생 하고 있다는것 과 수신체 계 는 무엇 을 
처 리할수 있는가 하는것사이의 약간의 차이 에 기 인한다. 

한가지 문제는 일부 침입검출체계들이 IP 머리부와 검사합마당이 동일한가를 확인하 
지 않는다는것 이 다(그림 8-1 을 참조하기 바란다. ) . 이것은 수신체 계 에 의하여 반드시 수 
행 되 여 야 하며 이 마당조작은 IDS 로 하여 금 수신체 계 가 처 리하는것 과는 다른 자료를 기 
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록하도록 한다. 

연구에 리 용한 실례 는 PHF CGI 공격 이 였 다. IDS 는 모든 HTTP 요청 을 구성 하고 있 
는 자료부분안에서 문자렬 phf 를 찾는 방법으로 이 공격을 알아 낸다. 이 모형이 검출 
되였다면 IDS 는 공격 이 일어 났다고 간주한다. 숙련된 공격자는 렬 phoof 를 만드는 매 
개 의 문자를 파케트렬 로 보내 려 고 시 도할수 있 다. 그 공격 자는 검 사합마당을 조사하여 
문자 0를 포함하고 있는 매개 묶음이 실패검사합을 가지게 한다. 수신체계 (검사합을 확 
증해 야 하는) 가 문자렬 phf 를 처 리하는 동안 IDS (검 사합을 확증하지 않는)는 이 전송을 
phoof 로 읽어 들인다. 

자료흐름이 어떻게 처리되는가 하는데서의 이러한 차이가 분명히 큰 문제로 되지만 
그것 은 극복할수 있다. 실례 로 이 문제 를 공개한 하나의 제 품인 ISS RealSecure 에서 그 
것 은 다음 제 품들에 서 수정되 였 다. 

이러한 문제들은 첫 개발기술분야에서 전형적으로 제기된다. 방화벽개발자들은 류 
사한 연구과정 을 거 쳐 왔으며 오늘날에 도 계 속 개 량해 나가고 있다. 망보안이 여 전히 
침체된 분야로 될것이라고 주장할 근거는 없다. 

IDS 에 대항한 공격 

Secure Networks 가 연구하여 발표한 다른 문제 는 직 접 공격 에 대 한 IDS 의 약점 이 였 
다. IDS 에 대항한 직접공격은 침입을 검출할 능력을 억제할수 있기때문에 하나의 문제 
로 된다. IDS 를 중지시킴으로써 공격자는 발견될 근심이 없이 망에 대항하여 공격을 
개 시할수 있다. 


IDS 대 방화벽 

여기서는 방화벽과 IDS 사이의 중요한 차이를 강조한다. 방화벽은 주변감시수단 
으로 작용한다. 이 것은 모든 자료흐름이 망의 한 구역 에서 다른 쪽으로 이동하기 위하 
여서는 방화벽 을 통과하여 야 한다는것 을 의미한다. 방화벽 이 공격 당하고 봉사기 들이 
파괴된다면 자료흐름을 통과시킬수 없게 되였다는것을 의미하는 전형적인 틀린 열기현 
상이 나타나게 된다. 이 것은 모든 전송을 마비시키지 만 방화벽 을 무력하게 만들고 내 
부 호스트에 대 한 공격 을 개시할 기회 를 노리는 공격 자들을 방해한다. 

한편 어 떤 IDS 는 망토막들사이 에 위 치하지 않는다. 그런것 은 하나의 충돌령 역 안 
에서 동작하도록 설계되 였 다. 만일 IDS 가 무력하다면 자료흐름이 정지 되지 않기때 문에 
기술적으로 틀린 닫기로 된다. 망자원들에 접근하는 동안 공격자는 IDS 가 정지되게 할 
수 있다. 그것은 IDS 가 비직결인 조건에서 개시된 모든 공격들이 문서화되지 않는다는 
것 을 의 미한다. 


다시금 이 문제는 Secure Network 의 연구가 서술한것처 럼 그렇게 극복할수 없는것 
은 아니 다. 매 개 망호스트에 의하여 직 접 주소화할수 있는 침 입검 출체 계를 가져 야 할 
합법 적 인 리유는 없 다. 망자료흐름을 알아 내 는 작용은 유효 IP 주소를 요구하지 않는 
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다. 련결을 요구하는 체계들은 다음의것들만이다. 

• 수감기 

• 조종탁 

• DNS 체 계 ( IP 주소들을 호스트이 름으로 변환하려 고 하는 경우) 

• 방화벽 또는 경 로기 ( IDS 가 려과규칙 을 변경시 킬것 을 요구하는 경우) 

공공망에 서 IDS 통신을 분리하는것 은 사설 IP 주소공간에 따라 분리 된 사설 망을 리용 
하는 방법 으로 쉽 게 실현할수 있다. 사실상 이 부분망에 대 한 경 로조종을 무시 한다면 
그것은 지역별로 수행될수 있다. 수감기는 IP 규약탄창을 요구하고 기본망에 대한 IP 주 
소를 요구하지만 이 주소는 합법적인것이 아니라도 된다. 이러한 구성실례를 그림 8-2 
에서 보여 주었다. 


인터 네트 



그림 8-2 에서는 정규적 인 망체 계들에 10.1.1.0 부분망으로부터 주소공간이 할당되 였 
다. 이 부분망안에 있는 모든 체 계 들은 어 떤 인 터네 트접 근준위 를 허 락 받는다. 그리 고 
방화벽 은 이 주소들을 가지 고 NAT 를 리용하도록 구성된다. 방화벽 이 관계하는 범위 에 
는 10.1.1.0 망만이 있게 된다. 

그것을 세밀히 살펴 본다면 DNS 체계가 2개의 IP 주소 즉 하나는 10.1.1.0 망에 관한 
것이고 다른 하나는 192.168.1.0 망에 관한것을 가지고 있다. 이 장치는 그 두 부분망 
사이에서 자료흐름이 경로조종되지 않도록 특수하게 구성되여 있다. IP 전송이 정지된다 
면 두 부분망우의 체계들은 통신이 가능하지만 그것은 경로기로서 작용할수 없고 그것들 
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사이에서 자료흐름을 전송할수 없다. 

IDS 수감기 와 감시 기 들은 192.168. 1.0 부분망에 관한 주소공간을 사용하고 있 다. 
그것 들이 각각 DNS 체 계 와 송신을 하는 경 우 10.1.1.0 주소를 리용하는 그 어 떤 체 계 
와도 통신이 불가능하게 된다. 이 것은 두 망토막사이에 경 로를 조종하는 장치 가 없기 
때 문이 다. IDS 역 시 방화벽밖에서 체 계들로부터 임 의의 자료를 주고받는것 이 불가능하 
게 된다. 

IDS 가 자료흐름을 감시하려고 할 때 무엇이 발생하는가? 언급한바와 같이 IDS 수감 
기는 자기 자체의 부분망우의 자료흐름만이 아니 라 망우에서 모든 자료흐름을 포착하게 
된다. 이것은 10.1.1.0 부분망우의 체계들과 인터네트사이의 통신을 포함하여 국부망우 
의 모든 자료흐름을 기록하는것이 완전히 가능하다는것을 의미한다. 이러한 발견은 
192.168.1.0 부분망을 통하여 조종탁에 보고될수 있다. 

둘중 어느 한 체계 가 IP 주소를 호스트이름으로 변환하려 고 할 때 무엇 이 발생하는 
가? DNS 체계는 정보를 경로조종 할수는 없다. 이것이 사실이라면 주소문의를 해결 하기 
위한 대 리 자로서 DNS 체 계 를 리용할수 있 다는것 을 의 미한다 . 

제3장에서 DNS 가 단순히 호스트이름들을 IP 주소들로 또한 그 반대로 바끌 의무가 
있는 하나의 응용층봉사라는것을 보았다. 수감기가 DNS 질문을 DNS 봉사기에 보낼 때에 
는 국부적 으로 축적 된 정 보로서 요청 을 응답하려 고 해 도 된다(국부구역파일 들을 통하여 
서든지 혹은 완충된 입구점들을 통하여서든지). 만일 이것이 불가능하다면 DNS 봉사기는 
뿌리이 름봉사기 들중의 하나와 접 촉하려 고 할것 이 다. 

뿌리 이름봉사기에 대한 제 일 좋은 경로가 10.1.1.15 IP 주소를 거 치도록 구성되 였다 
면 방화벽에 10.1.1.1 로 지적한 표준경로를 만드는것처럼 DNS 봉사기는 원천 IP 주소 
10.1.1.15 를 리용하여 요청을 전달하게 된다. DNS 봉사기는 질문을 경로조종하는것이 
아니 고 질문을 풀기 위한 대 리 자로서 작용하는것 이 다. 

질문에 대 한 대 답을 받을 때 DNS 봉사기 는 자기 가 알고 있는 제 일 좋은 경 로를 리용 
하여 수감기에로 응답을 되돌려 보낸다. 이것은 체계가 192.168.1.1 주소를 리용하여 전 
송을 진행하여 야 한다는것 을 말한다. 다시 는 정 보에 대 한 경 로선택 을 하지 않고 DNS 장 
치 로서 그것 을 대 용한다. 이 것은 IDS 가 나머지 망과 갈은 부분망주소를 리용함이 없이 
DNS 질 문들을 완전히 해 결 할수 있 다는것 을 의 미한다. 

결과 인터네트로부터 직접 주소화할수 없는 하나의 숨겨 진 부분망이 얻어 진다. 
공격자는 IDS 수감기나 조종탁에 접속하기 위하여서는 방화벽을 뚫고 들어 가거 나 DNS 
봉사기 를 파괴하여 야 한다. IDS 가 직 접 주소화될수 없다면 명백 히 공격 을 할수 없다. 


일러두기 

방화벽 과 마찬가지 로 공공망에 서 IP 를 리용하고 있는 IDS 수감기 는 리용에 앞서 보 
강되여야 한다. 여기에는 그것이 최근의 보안관련수정프로그람들을 모두 가지고 있 
도록 하는것과 함께 그 체계에 불필요한 봉사들은 어느것存 동작시키지 않는다는 담 
보를 포함하고 있다. 보강된 체계는 공격을 더 잘 막게 되며 따라서 안전감시처리를 
하는데 가장 좋은 플래트홈으로 된다. 
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旧 S 의 보복수단 

침입검출체계는 경과등록 및 경보를 하는것과 함께 그 처리에서 다른 두가지 능동보 
복수단들을 가지고 있다. 

• 대화중지 
• 려과규칙조작 

이것들은 매개 전문적인 제품에 따라 다른데 매 방법의 일반적능력과 약점을 살찌 
보기로 하자. 


IDS 에 대한 내부공격 

IDS 수감기와 조종탁들은 내부공격에 취약하다. 10.1.1.0 망우에서 그 ᄊ군가가 
IDS 의 IP 주소를 발견한다면 192.168.1.0 부분망에 대하여 이 체계를 직접 주 :!화하기 
위하여 국부주소를 변화시 키거 나 속이 는것 은 쉽다. 이것 을《 애매 성 을 통한 i 전》이 
라고 하는데 체계는 그것이 어디에 숨겨 져 있는지 모르는 동안만 안전하다 더우기 
이러한 체계들을 인터네트로부터 완전히 접근할수 없게 만듦으로써 가능한 공 _시점의 
령역을 매우 제한하며 공격자를 발견하는 과정을 쉬워 지게 한다. 

내부공격들이 문제라면 IP 탄창을 요구하지 않는 IDS 를 쓸수 있다. 실려 로 Real 
Secure 는 감시 되 는 망에 속한 IP 를 가지 고 있지 않는 체 계 로부터 의 망감시 1 지 원한 
다. IP 주소가 없으면 체계는 IP 에 기초한 어떠한 공격에 대하여서도 영힝를 받지 
않는다. 물론 이것 역시 조종탁을 감시하기 위한 전문적인 고찰을 하여야 나다는것 
을 의미한다. 수감기와 갈은 체계 에 대 한 IDS 조종락을 가동시키거 나 혹은 ᄃ감기 에 
둘째 망기판을 설치하여야 하는데 그래야 개인부분망을 통하여 조종탁을 기지고 통 
신을 할수 있다. 


대화중지 

대화중지는 실현하기 제일 쉬운 보복수단이다. 그것을 실현하기 위한 몇가지 방안들 
이 있지 만 제 일 기 초적 인 형 태 로서의 대화중지 는 IDS 를 재 설정하거 나 공격 대화의 매 개 끝 
을 막는 방법 으로 만들어 진다. 이것은 앞으로의 공격개시 로부터 공격 자를 막을수는 없 
지만 현존대화가 진행되는 동안 어떤 그이상의 손실을 일으키는 공격자는 막는다. 

실례로 IDS 수감기가 FTP 대화동안에 문자렬 CWD 〜 root 를 보내 려고 하는 공격자를 
발견한다고 하자. 정확히 수행하였다면 이러한 공격은 공격자에게 뿌리준위 FTP 로서 
일부 이전 체계들에 접근하도록 한다. 이러한 접근준위는 아무런 통과인증없이 허락되 
며 공격자는 체계상의 임의의 파일에 읽기쓰기를 할수 있다. 

대 화중지 가 가능하다면 IDS 수감기 는 먼 저 식 별 하고 이 잠재 공격 을 기 입하며 다음에 
련결을 억지 로 잡아 떼 기 위하여 대 화량쪽에 거 짓 ACK-FIN 파케트들을 보낸다. IDS 수감 
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기는 련결의 다른끝에 있는 체계인듯이 가장하면서 이것을 실행한다. 실례로 원천 IP 주 
소，포구번호， FTP 봉사기 의 순서번호를 리용하여 공격 자에 게 ACK - FIN 을 전송한다. 이 
것은 공격자가 파일체계에 접근하는것을 막으면서 통신대화를 효과적으로 차단하게 한 
다. 사용에 서는 IDS 수감기 에 따라 무한히 혹은 사용자가 설정한 시 간주기 동안 공격호스 
트로부터 모든 동신을 차단해도 된다. 

대화중지가 강력한 특성 이기는 하지만 제 한성 이 없는것은 아니 다. 실례로 이 장의 
앞에서 이미 서술한 눈물방울에 대한 실례는 침입검출체계가 공격을 막을수 없다는것을 
보여 주었다. FTP 공격에 반응할만큼의 충분한 시간을 IDS 가 가지고 있다고 하여도 한 
개의 틀린 IP 머리부만으로 체계를 충분히 파괴할수 있다면 눈물방울로부터 체계를 보호 
할정도의 속도로 충분히 빨리 반응하기는 어렵다. 

려과규칙조작 

일부 IDS 수감기들은 계속되는 공격을 막기 위하여 경로기 나 방화벽의 려과규칙들을 변경 
시킬수 있는 능력 을 가지고 있다. 이 것은 목표호스트에 추가적 인 자료흐름을 보내는 공격체 
계를 중단시킨다. 즉 IDS 는 협의자 IP 주소로부터 들어 오는 모든 자료흐름을 차단하는 새로 
운 려과규칙을 방화벽에 첨부한다. 려과규칙조작이 강력한 하나의 새 창안품이기는 하지만 
그런데도 제한성이 없는것은 아니다. 이 특성의 의미를 충분히 파악한 다음에야 그것을 리해 
할수가 있다. 

긍정적면에서 보면 려과규칙조작은 대화중지보다는 매우 적은 망자료흐름을 가지고 
공격을 막을수 있다. IDS 가 일단 려과규칙들을 변경시키면 공격자료흐름은 멈춘다. 
대 화중지 에 서 IDS 는 매 공격 대화를 련속적 으로 막아야 한다. 만일 지 속적공격 을 한다면 
이것은 선로에 통신량이 아주 많아 지게 할수 있다. 

부정적면에서 보면 려과규칙조작은 항상 100% 효과적이 아니라는것이다. 실례로 방 
화벽 안에 서 공격원천 IP 주소는 무엇 인가 ? 이 경 우에 려 과규칙 을 변경 시 키 는것 은 효과가 
없다. 공격자료흐름은 실제상 방화벽을 결코 통과하지 못하기때문에 려과규칙들의 지배 
를 받지 않는다. 이 것은 려과기교체 가 공격 에 영 향을 미치지 않는다는것을 의 미한다. 

숙련된 공격 자는 실제주소보다는 오히 려 속임 IP 주소를 사용할수 있 다. 방화벽 이 초 
기 공격 을 차단시 킬수도 있지 만 공격 자가 하여 야 할 일은 이 새 로운 규칙 변경 을 우회하기 
위하여 또 하나의 속임주소를 선택하는것 이 다. 대 화중지 에 서 IDS 는 원천 IP 주소가 아니 
라 공격징 후에 기 초하여 반작용한다. 이 것은 려 과규칙조작으로는 못하지 만 대 화중지는 
련속적 으로 공격 을 막아 낼수 있 다는것 을 의 미한다. IDS 는 성 공적 인 규칙변화를 일 으 
키며 발견된 모든 속임주소들을 차단할수 있다. 그러나 공격자가 원천 IP 주소를 빨리 변 
화시 킨다면 IDS 는 유지할수 없게 된다. 려과기 를 변경시 키 기 위 하여서 는 IDS 와 방화벽 
이 일정한 시 간동안(대 체 로 10〜30초) 기다려야 한다. 


경 고 

현존 려 과기 규칙 을 변 경 시 킬 능력 이 DoS 공격 에 대 하여 서 도 개 발되 였 다 . 공격 자가 
다중려과기규칙변화를 련달아 일으키기 위하여 원천 IP 주소를 일부러 변화시킨다면 
방화벽 은 바빠서 자료흐름통과를 중단시키 게 된다. 려 과기규칙 이 변하는 동안에 는 
어떤 능동대화도 물론 종결되게 된다. 
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명백히 려과기규칙들을 변경시킬 능력은 아주 유해로운것으로 간주되는 그러한 
공격들에 대하여서만 좀 리용된다. 실례로 1996년이전에 나온 모든 종전의 IP 장치 
와 체계는 죽음의 Ping 에 대하여 취약하다. 죽음의 Ping 이란 너무 큰 ICMP 자료통보 
문을 보냄 으로써 목표체 계 에 대 한 IP 통신규약탄창을 파괴하는 하나의 수단이 다. 종 
전의 낡은 체계들을 가지고 환경을 구축한다면 이러한 공격들을 막기 위하여 려과기 
규칙 들을 변경시키 는것 은 효과가 적 다. 빈번한 규칙변화가 잠정 적 으로는 봉사거 부 
의 원인으로 되지만 이러한 자료흐름을 통과하게 하는것은 모든 IP 통신을 거의 중단 
시킨다. 


일러두기 

죽음의 Ping 은 망하드웨 어뿐만 아니 라 를퓨터체 계 들에도 영 향을 미 친다. 모든 IP 장 
치들이 이러한 형래의 공격에 대항하여 보강되였는가를 확인하여야 한다. 


죽__°1 

모든 침입검출체계들이 모든 방화벽과 경로기들에 적용가능한것은 아니다. 실례로 
ISS RealSecure 는 Check Point 방화벽-1만을 변경시 킬수 있다. 현재 특성발표문에 
Cisco 경로기들을 추가시킬 계획이 있다고 하지만 그것은 어떤 다른 방화벽제품과 호 
환되지 않는다. 그래서 대화중지가 이러한 특성을 지원하고 있는 어떤 IDS 에 의하 
여 리용될수 있는데 방화벽기능을 수행하는 적당한 체계를 리용한다면 려과조작만 
을 할수 있다. 


호스트기초 IDS 

지금까지는 모든 망자료흐름을 통과시키는 전용의 봉사기와 감시기에서 동작하는 침 
입검출체계들을 주로 보았다. 이 장치들은 전체 충돌령역 안에서 자료흐름을 조종하는데 
리용되고 있다. 그러나 단일체계만을 보호하기 위하여 설계된 호스트기초 IDS 제품들이 
있 다. 

호스트기 초 IDS 는 비 루스주사장치 와 류사하게 작용한다. 그것 의 쏘프트웨어 는 보호 
하려는 체계상에서 배경처리로서 돌아 가면서 이상작용을 검출하게 된다. 이상작용에는 
HTTP 요청을 통하여 미지의 지령들을 보내려는 시도나 파일체계변경 등이 포함된다. 이 
상작용이 검 출되 였을 때 IDS 는 공격하는 대 화를 중지시키 고 체 계의 기 본관리 자에게 경 
보를 보낼수 있다. 


몇가지 결함들 

호스트형침입검출체 계들은 몇 가지 결함들을 가지고 있는데 그것으로 하여 여 러 환경 
들에서 그것 이 비 실용적 인것 으로 되 고 있다. 초기의 제 품들은 대부분 특정형 식의 체 계 
만을 감시 할수 있 었 다. 실례 로 NetWork Associate 가 만든 CyberCopServer 는 Web 봉사기 
들을 보호할 능력만 있다. 만일 그 봉사기가 여러가지 봉사 ( DNS , 파일공유， POP 3 등) 
를 하고 있다면 호스트기초 IDS 체계는 침입검출능력이 없을수 있다. 
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IDS 의 대 다수가 사용자접 근권변경 과 갈은 핵 심봉사기 능들을 감시 하는 동안 공격 자 
는 체계를 변화시 킬 시 도에 앞서 IDS 를 무맥하게 할 방도를 찾는다. IDS 가 무맥하게 되 
였다면 공격 자는 체계를 자유롭게 파괴한다. 

다른 문제는 호스트형침입검출체계들이 단순히 배경처리로써 가동하며 체계의 핵심 
통신기능에 접 근하지 않는다는것 이 다. 이 것은 IDS 가 통신규약탄창 그자체 에 대 항한 공 
격 을 막을 능력 이 없다는것을 의 미한다. 실례 로 장비 가 약한 NT 봉사기를 파괴 하기 위하 
여서는 10개 정도의 눈물방울파케 트를 리용하면 된다. 이것은 망에 기초한 IDS 가 반작용 
하고 보복수단을 취 하는데는 충분한 시 간이 지 만 호스트기 초 IDS 는 무력하게 남아 있게 
된다. 왜냐하면 이 자료흐름을 전혀 알지 못하기때문이다. 

보호하려는 체계상에서 침입검출프로그람을 돌리는데는 론리적인 계산오유가 있다 
는것을 역시 론의할수 있다. 공격자가 체계에 침투할수 있다면 공격자는 더우기 IDS 를 
위 태롭게 한다. 이것은 아주 나쁜 일 이 다. 즉 공격 자는 최종보안보호선에 구멍 을 내게 
된 다. 


일러두기 

햇내기공격자들만이 경과기록이라든가 의심 받을수 있는 처리를 깨끗이 하지 못하 
여 자기의 흔적을 없애지 못한다. 이것이 체계관리자들로 하여금 A 든 경과기록목 
록을 원격체계에 발송할것을 많은 보안전문가들이 권고하고 있는 리유이다. 그 체 
계가 공격자때문에 위래를다면 경과기록들은 경보를 기록할수 없다. 이와 갈은 원 
리가 역시 침입검출체계들에 확장될수 있다. 


언제!;^_方초 IDS 가 효과적인가? 

이 모든 결함에도 불구하고 호스트형침 입검 출체 계들은 자기의 위 치를 차지한다. 실 
례로 보호하려는 Web 봉사기 가 DMZ 망토막우에 위 치 하고 있다고 가정하자. 이 DMZ 는 
방화벽뒤 에 있지 만 Web 봉사기 만을 포함하는 토막과 분리 된 상태 에 있다. 방화벽 은 
HTTP 로 Web 봉사기 에 로의 자료흐름만 허 락하도록 구성되 여 있 다. 

이러한 경우에 호스트기초 IDS 제품은 Web 봉사기를 보호하는데 충분하다. 그것은 
방화벽 이 대부분의 보호를 제공해 주기때문이다. 방화벽은 Web 봉사기로 할수 있는 자 
료흐름이 오직 HTTP 요청뿐이 라는것을 확인하게 된다. 이것은 Web 봉사기상에서 돌아 
가는 다른 모든 봉사기 들에 대 하여 걱정 을 안해 도 된다는것을 의 미한다. 

호스트형 침 입 검 출체 계 는 의 심 스러 운 파일 접 근요청 이 라든가 CGI 와 Java 리 용이 이 러 한 
HTTP 요청속에 포함되여 있지 않으며 체계상에서 돌아 가는 Web 봉사기에로 통과되지 않 
는다는것만을 담보하여야 한다. 이것은 비록 적지 않은 공적이지만 IDS 가 조종할것을 
기 대하였 던 각종 리용범 위 를 제 한한다. 

호스트기초 IDS 는 완전교환환경 에서 매우 유익할수 있다. 이것 에 대 하여서 도 론의 
되고 있다(그림 8-3) .이 그림에서 모든 체계들은 교환기에 직접 련결된다. 실제상 이것 
은 매개 체계에 그자신의 충돌구역을 가져다 준다. 즉 교환기가 통신에 참가한 두 체계 
만이 자료흐름을 볼수 있도록 모든 단일자료흐름을 분리시킨다. 
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교환기 가 통신대화를 분리 시 키 기 때 문에 망에 기 초한 IDS 는 모든 통과하는 망자료흐 
름을 알수 없게 된다. 만일 작업국이 인트라네트 Web 봉사기 에 대 항하여 공격을 개시한 
다면 IDS 는 공격이 진행되고 있으며 그래서 보복수단을 취하기 곤난하다는것을 완전히 
알아 차리지 못하게 된다. 뿐만아니라 이것은 공격이 IDS 경과기록에 나타나지 않고 사 
건기 록도 되 지 않는다는것 을 의 미한다. 

호스트기초 IDS 는 인트라네트 Web 봉사기를 보호하는데 제일 유리할수 있다. 이것은 
보호하려는 체계상에서 돌아 가기때문에 교환기의 자료흐름분리속성의 영향을 받지 않는 
다. Web 봉사기가 살피고 있는 모든 자료흐름을 알기때문에 HTTP 에 기초한 공격 으로부 
터 체계를 보호할수 있게 한다. 


일러두기 

대 부분의 교환기개 발자들은 감시포구로서 한개 의 교환기포구를 구성하도록 한다 . 
이것은 이 포구에 련결된 임의의 체계에로 보내는 모든 자료흐름을 교환기가 복사 
전송할수 있게 하여 준다. 만일 교환기환경 에 서 망중심 IDS 를 사용하려 고 한다면 
IDS 가 또든 통과자료흐름을 확인 할수 있 다는것 을 확인 하기 위하여 이 감시포구에 
그것 을 련결시키 면 된다. 


IDS 융합 

전통적 인 IDS 의 제한성을 극복할뿐만아니 라 보다 혁신적 인 보안을 하려는 시도에서 
IDS 연구는 자료의 통합방향으로 혹은 조사적 인 견지 에서 볼 때 아주 일 반적 인 술어인 
융합이라는 말을 써서 추진되고 있다. 다른 형태의 정보들과 원천들을 봉사기들과 를퓨 
터들에서 나오는 파케트정보(실제로 통신되는 정보)와 결합함으로써 IDS 체계들은 보다 
더 정 확하게 공격 에 대 한 정보를 결정할수 있다. 
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추가적 인 자료원천들은 다음의것들을 포함한다. 


SNMP (단순망관리규약) 이것은 집중감시체계를 가지고 망장치들이 통신하도록 
하며 무슨 자료가 전달되고 있는가가 아니라 어떻게 작용하고 있는가를 
보고한다. 주어 진 대면부를 통하여 통과하는 초당 자료흐름량이 많은 
망감시체계를 현대화하는 경로기가 바로 그 하나의 실례로 된다(대면부 
는 해커 가 DoS 공격 을 시도할 때 IDS 에 의하여 결정 하기 위하여 리 용될 
수 있 다.). 

체계경과기록 (System logs ) 거의 모든 조작체계들은 임의의 주어 진 시각에 자 
기의 총적상태와 관련한 폭 넓은 상세한 자료를 기록하도록 구성될수 있 
다. 이때 매개 조작체계성분으로부터 발생하는 이상자료도 기록할수 있 
다. 전자우편의 도착시간이 아니라 원본봉사기의 ip 주소를 기록하는 전 
자우편봉사기를 고찰하기로 하자. 이 통보는 비루스를 운반하는 전자우 
편경로를 추적하며 피해를 입은 봉사기로부터 발생하는 임의의 전자우편 
을 려 과하도록 체 계안의 모든 전자우편봉사기 들에 게 알리 기 위하여 IDS 
를 사용할수 있다. 

체계통보 (System message ) 거의 모든 적절한 체계자료는 보통 기록되는데 이 
것은 틀린 자료의 결합이거나 또는 단순히 조작체계결함일 때에는 그렇 
게 되 지 않는다. IDS 는 체 계통보들을 리용하여 전체 망에 대 한 보다 
큰 표상을 만들며 이것은 망상태로부터 나오는 자료(융합)와 회복의미 
(패런분석)를 결합하게 한다. 

명령들 ( Commands ) 거의 모든 조작체계들은 모든 사용자들이 공포한 매개 단일 
명 령을 기록하기 위하여 설계 또는 구성되는것 이 아니 다. IDS 융합은 바 
로 그러한 제한성을 극복하기 위하여 설계되였다. 즉 체계가 자기자신을 
기입하는 방법으로 놓친 패턴들을 해명한다(이것은 직접 체계나 또는 
보안특성에 대한 정보를 보고만 한다.). 독점적인 회사정보를 지워 버 
리기 위하여 설계된 명령이 하나의 실례로 된다. 통보는 회사에 극단 
적 인 손해 를 주지 만 체 계 의 완전성을 파피 하거 나 영 향을 미 치지 는 않 
는다. 

사용자행우 KUser Behavior ) 사용자명령이나 시간에 따르는 일상적인 사용자행 
위를 감시한 결과는 자기자체의 패턴을 만들며 사용자구좌활동을 부단히 
해석함으로써 IDS 는 어떤 더 큰 위반이나 체계에 대한 침투가 일어 나 
기전에 그 구좌가 습격을 받았는가를 결정할수 있다. 

사용자，체계，망자료와 행위모두를 해석한다는 개념은 아주 쉬운것처럼 생각되지 
만 실제 로 IDS 융합은 아주 어 렵 다고 본다. 그것은 복잡한 수학공식 에 의거하며 일부 강 
한 후비원천들이 효과적으로 동작할것을 요구한다. 이것은 아직 주관적이며 실험적으로 
나 진행되고 있다. 그럼에도 불구하고 IDS 융합은 협동자료공유와 공격을 받은 모든 망 
들에 대 한 응답을 통하여 망보호를 개 혁하도록 해 준다. 
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IDS 의 설치 


IDS 를 설 치 하는 방법 을 고찰하기 위 하여 인 터 네 트보안체 계 ( ISS ) Real Secure 를 살펴 
보기로 하자. RealSecure 수감기는 실제상 여러개의 제품들로 구성되여 있다. 

RealSecure 조종탁 (작업 그룹관리 자) 은 망과 봉사기 수감기 들 모두를 포함하여 
전체 RealSecure 체 계 를 조종한다. 또한 주자료기 지 를 장비 한다(이 것 은 
보고서 를 작성하는데 리 용된다. ) . 

RealSecure 망수감기는 주어 진 토막에서 모든 망자료흐름을 기록하며 그것을 
공격징후와 비교한다. 

RealSecure 봉사기 ( OS ) 수감기는 특정의 체계를 지향한 공격에 대하여 체계워 
크스테 이 션록들과 대 면부자료흐름을 감시한다. 

시작하기전에 

이 부분에서는 RealSecure 의 Windows NT 판을 기본으로 고찰한다. 언급된바와 같 
이 갈은 체계 혹은 서로 다른 플래트홈들상에서 수감기들과 조종탁이 가동하도록 선 
택 함수 있 다(이 경 우에 비 록 망과 봉사기 조작체 계수감기 들을 둘다 동시 에 갈은 플래 
트홈에서 가동시킬수 없을수도 있다.). 이것을 결정하는 인자들은 비용，성능 그리 
고 교환기망을 가동시 키 는가 하는것들이 다. RealSecure 쏘프트웨어 에서는 리용하려 
는 플래 트홈이 하나이든 둘이 든 들어 가는 비 용은 같다. 그러 나 두개 의 플래 트홈인 
경우에 명백히 Windows NT 봉사기사용허가와 두개의 봉사기급의 체계를 구입하여 
야 한다. 

만일 체계 가 낮은 대 역너비 련결을 감시 하게 된다면 ( T 1 속도 혹은 그이하) 질 낮은 
두개의 콤퓨터보다는 차라리 한개의 《강력한》기계를 가동시키는것이 아마 더 낫다. 
만일 중추망이 나 다른 고자료흐름구역을 감시할 계획 이 라면 두개의 적절히 장비된 체계 
들을 구입하는 문제 를 고려해 볼수도 있 다. 수신하고 처 리하는 선로상의 매 개 파케 트는 
CPU 능력 이 크다. Real Secure 는 130개 이 상의 서 로 다른 이상조건에 대 한 매 개 파케 트를 
검사한다. 요구된다면 기록일지의 기입과 보복수단의 적용을 결합시키면 아주 만가동하 
는 체계를 얻게 된다. 

IDS 를 어디에 설치하겠는가? 

IDS 를 어디에 설치하여야 제일 좋은가를 결정하기 위하여서는 《어느 체계를 보호 
하려 고 하며 어 느 원천으로부터 보호하여 야 하는가》에 대 한 질 문으로 제 기하여 야 한 
다. 미리 이러한 관점을 명백히 하는것이 좋다. 실제적으로는 1개이상의 IDS 수감기가 
요구된 다는것 을 알아야 한다. 하드웨 어 나 쏘프트웨어 를 구입 하기 위한 요청 서 를 작성 
하기에 앞서 마음속으로 가장 견고한 보안대책을 가지고 있어야 한다. 

하나의 위 치 배비 도를 그림 8-4 에 보여 주었 다. 
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이 모형 에서 DMZ 와 방화벽내부접속은 둘다 감시 를 받고 있다. 이것은 인터네 트로 
부터 모든 귀환자료흐름을 확증할수 있게 한다. 또한 현존방화벽을 강화할수 있게 한 
다. IDS 수감기들은 둘다 공공의 망토막에 속하는 IP 가 없이 가동하고 있다. IP 는 조종 
탁뒤 에 수감기 를 련 결 하는 망기 판상에 서 만 가동하고 있 다 . 이 것 은 IDS 수감기 들 이 공공 
망토막상의 모든 체계들에서 완전히 보이지 않도록 하여 준다. 

그러 나 이 렇게 구성하여도 몇 가지 제 한성 이 있다. 우선 방화벽 에서 목표로 삼은 인 
터 네 트로부터 의 공격 자료흐름을 감시 할수 없 게 되 는것 이 다 . 방화벽 이 그러 한 활동을 기 
록할수 있 다고 하여 도 불충분한 파케 트획 득, 동적 려과규칙조작 또는 IDS 가 제 공할수 있 
는 일부 다른 특성 에 대 하여 리득이 없을수 있다. 인터네 트련결 이 T 1 혹은 그보다 작 
고 그리 고 인 터네 트자료흐름을 감시 만 하려 고 한다면 실제 로 좋은 한개 의 봉사기 를 리용 
하여 방화벽밖에서 모든 IDS 기능들이 동작하게 하는것 이 더 좋을수 있다. IP 가 이 러한 
체 계 에서 는 필요없기 때 문에 공격 으로부터 안전하게 된다. 

그림 8-4 에 보여 준 설계안이 가지고 있는 다른 제한성은 내부체계들사이에서 발 
생하는 자료흐름을 감시할수 없게 한다는것 이 다. 모든 망자료흐름을 감시 하는것 이 
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목적 이 라면 교환기상에 서 자기 의 포구에 내 부 IDS 수감기 를 이 동하여 도 좋으며 이 교 
환기포구를 형 성하여 도 좋다. 이것은 방화벽안에 서 모든 자료흐름활동을 알게 하여 
준다 . 

가능한만큼 망에 열쇠 를 채우는것 이 목적 이 라면 다음과 갈은 해 결책 들을 결 합하는것 
이 좋다 . 즉 한개 의 IDS 수감기 를 방화벽밖에 설 치 하고 다른 IDS 수감기 는 교환기포구감 
시밖에 두는것 과 두개 의 수감기 들을 가지 고 사설부분망을 통하여 조종탁으로서 통신하는 
것이다. 이것은 중앙조종탁으로부터 여전히 조종을 감시하는 동안 망안에서 모든 통과자 
료흐름을 감시할수 있게 하여 준다. 

일 단 감시 하려 는 구역 이 선택되 였 으면 적 당한 하드웨 어뿐아니 라 요구되 는 IDS 수감 
기 들도 몇개 선택할수 있 다. 

하드웨어에 대한 요구사항 

ISS 는 RealSecure NetWork Sensor 에 관하여 다음파 같은 하드웨 어 에 대 한 최 소한의 
요구사항을 제 기 하고 있 다. 

• 펜 리 움 II 300 MHz 처 리 기 

• 128 MB RAM 

• 110 MB 디스크기억 

• 최소한 한개의 PIC 망기판 

디스크기억요구사항은 대체로 높지 않다. 대량자료흐름구역을 감시하려고 하거나 원 
천자료를 많이 획득하려고 생각한다면 많은 디스크공간을 확장할것을 계획하여야 한다. 
ISS 는 RealSecure 조종탁에 대 하여서 는 다음과 같은 하드웨 어 에 대 한 최 소한의 요구사항 
들을 제기하고 있다. 

• 펜 터 움 II 300 MHz 처 리 기 

• 128 MB 의 RAM (256 MB 를 권고한다.) 

• 수감기당 100 MB 디스크기억 

• 하나의 PIC 망기 판(추가적 인 NIC 는 원격기 계 상의 수감기 들과 통신하기 위한 
안전한 망을 구성하는데 리용될 수 있 다. ) 


일러두기 

디스크공간은 크게 하는것 이 좋다. 부족되는것보다는 많은것 이 더 좋다. 더 많은 
디스크공간을 리용할수록 더 오래 경과기 록을 보유하게 된다. 이것은 오렌 기 간의 
정 황을 살펴 볼 때 아주 중요하다 . 갈은 체 계 상에 서 수감기 와 조종탁을 가동시키 
려 고 한다면 처 리기요구를 400 MHz 펜리움 II 와 기 억요구를 192 MB 까지 높이는것을 
고려하여 야 한다. 
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NT 의 설치 

RealSecure 는 IDS 기능을 보장하는 Windows NT 상에서 가동하게 된다. 

NT 봉사기를 설치할 때 다음과 같은 차림 표지시를 준수하여 야 한다. 

• NT 를 구성 하기 전 에 모든 필 요한 망기 판들을 설 치하시 오 . 

• NT 조작체 계 와 교체파일 을 적 재할수 있 게 800 MB 의 NTFS C 분할을 만드시 오 . 

• IDS 프로그람파일 과 경 과기 록들을 적 재하기 위한 나머 지 구동기 공간(최 소 
200 MB ) 의 NTFS D 분할을 만드시오. 

• TCP/IP 를 제외한 모든 규약들을 제거하시오. 

• 조종탁에서 봉사기 대화칸을 열고 Event Log 봉사와 Net Logon 봉사를 제외한 모 
든 봉사를 무시하시 오. 

• 봉사 Pack 5 (또는 그이 상) 의 128 bit 판을 설 치하시 오 . 

• 최 소한 getadmin - fix , ndis - fix , pent _ fix , srvr-fix 와 teardrop 2- fix 를 설 치 하시 
오. SCSi - flX 와 같은 다른것 들은 요구에 따라 설 치할수도 있다. 

• System Properties 의 Performance 칸에 서 전경 응용프로그람 Boost 를 None 으로 변 
경시 키시 오. 

• 봉사기 봉사가 가동하고 있 다면 봉사기특성대 화칸으로 넘 어 가서 망응용을 위 
하여 Optimization 을 Maximize 로 변화시키시 오. 

일 단 이 사항들을 수행 하면 비상회복디스크를 만들고 RealSecure 를 설치 할 준비 가 
된것으로 된다. 

RealSecure 설치 

RealSecure 설 치 는 매 우 쉽 다. 만일 전자우편을 통하여 ISS 와 접 촉한다면 여 러 가지 
설 치 파일데 모를 내 리적재할수 있다. 데 모는 15일 간에 만기 되 는 옹근제 품을 단순히 복 
사한것 이 다. 보다 더 많은 정 보를 얻 기 위 하여 서 는 ISS Web 싸이트 www . iss.net 를 보 
시오. 

설 치 에서 첫 요소는 RealSecure Workgroup Manager (조종탁) 이 다. 자체 추출실행 은 림 
시등록부에 일부 파일들을 복사하고 Setup 프로그람을 시 동시키 는것 으로부터 시 작한다. 
적어도 Service Pack 5가 설치되지 않았다면 Setup 프로그람은 경보를 내고 실행을 중지 
한다. 

그림 8-5 에 서 보여 준바와 같이 설 치하려 는 프로그람의 어 느 부분을 선택할것 인가를 
먼저 묻게 된다. 

조종탁설치，개인열쇠의 재적재，조종탁의 공개열쇠배송 등을 선택할수 있다. 망이 
든 OS/Server 수감기들이든 설치는 절차를 서로 따로 가지고 있다. 뒤의 두개 선택은 IDS 
쏘프트웨어 가 설 치된 다음에 쓸모 있게 된다. 이 선택 들은 조종탁과 수감기 들이 서 로 다 
른 체 계 들에 위 치 하고 있을 때 그것 들이 리용하는 암호열쇠 를 관리할수 있도록 하기 위 
한것 이 다. RealSecure 는 조종탁과 수감기들사이의 각종 통신을 위 하여 공개 비 밀열쇠쌍을 
리용한다. 일 단 선택 이 만들어 지 면 Next 를 찰칵한다. 
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Select Ihe opefaborts) you w«h to perform; 



r Vew README He first 
「 Restore ayptogtaphic ptivate key* 
P Irstal RealSecwe Console 
r Export Console pubic keys 


< Back | Mexl> | Cancel | | 

그림 8-5. Real Secure 설치의 선택설치선정화면 

그러면 RealSecure 파일들의 목적지를 선택하라는 지령이 나오게 된다. 기정은。구」 
기 상에 서 Program Files 등록부아래 그것 을 적재 시 키 는것 이 다. 모든 RealSecure 파일들이 ; 
기의 고유한 위치에 적재되도록 이 경로를 D 로 변경시킬것을 권고한다. 이것은 기록그 
일들이 구동기 전체를 채우리만큼 아주 커 진다 해도 체 계기능에 영 향을 주지 않도록 담ᅭ 
하는데 도움을 준다. 일단 새로운 경로가 확정되면 계속하여 Next 를 찰칵한다. 

일단 자기 파일에 대한 위치가 결정되면 높은급암호화판봉사묶음이 설치되지 않았 t 
는것을 체계가 검출할 때 다음과 갈은 통보를 내게 된다. 




A The Miciosort Enhanced Cryptog 베 : 
; \ this system 


USKiJ 


Providei was no» found on 


경 고를 접 수하면 그림 8 - 6에 서 보여 준것 파 같은 Select Cryptographic Setup 화면 < 
나타난다. ' 

이 화면은 암호봉사제공자 ( CSP ) 를 선택할수 있게 한다. CSP 는 조종탁과 수감기- 
사이의 모든 자료흐름을 암호화 및 복호화하는 요소이 다. Microsoft Base Cryptograph 
Provider 는 Service Pack 3 의 부분으로서 후에 설치된다. 결국 체계가 보강되게 된다. 1 
일 체 계 상에 제3자의 CSP 를 설 치했다면 역 시 이 창문에 나타나게 된다. 
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이 점에서 설치프로그람은 프로그람묶음을 이름 짓고 체계에 파일들을 설치하기 시 
작한다. 일단 이 처리가 완성되면 그림 8-7 에 있는 대화칸을 제공하는데 이것은 자기의 
비밀열쇠를 보관할 기회를 제공하여 준다(통과성구를 가지고 그것을 보안한다.). 

이 화면다음에 체계는 파일들을 복사하기 시작한다. 복사과정이 끝나가면 Microsoft 의 
자료접 근성 분 ( MDAC ) 들이 부족하다는것 을 알고 체 계는 지 령 통보를 내보낸다. 

체계가 그 성분들 ( RealSecure 가 적당히 기능할것을 원하는 경우에 요구된다.)을 설 
치 하도록 선택할수 있 다. 


an unsupported version erf Microsoft Data Access Components (MDACl 
f MDAC 25 is required If you continue ihen MDAC 2.5 wd be instaled. 


RealSecure 가 최 신 MDAC 를 설치 한 다음(만일 요구된다면) 설치 프로그람은 사용자에 
게 RealSecure 가 사용하는 등록부들과 등록기열쇠 에 대 한 허 용준위설정 을 검 사함으로써 
보안을 강화하도록 지령을 준다. 이것은 체계관리자나 혹은 등가적인 구좌에 의하여서만 
접 근할수 있 다는것 을 담보하기 위한것 이 다. 



죽 __- 

NTFS 를 리용하도록 구동기 구역 을 분할하였 다면 NT 봉사기 에 대 한 등록부허 가만을 
설정할수 있다. 


이제는 설치가 완결되였다. 

등록고의 변경 이 유효로 되 고 IDS 수감기 봉사가 시 작되 도록 하기 위하여 봉사기 를 
재기동하여야 한다. 수감기는 체계가 초기화되는 동안 자동적으로 시동된다. 그러나 조 
종탁은 RealSecure 프로그람묶음으로부터 개시되여야 한다. 체계가 일단 재기동하면 
RealSecure 프로그람등록부에 ISS . KEY 파일을 복사하여야 한다. 

RealSecure 구성 

RealSecure 조종탁을 시 동하기 위 하여 RealSecure 프로그람묶음안에 서 Real Secure 그림 
기 호를 선택한다. 그러 면 그림 8-8 에 보여 준 화면 이 만들어 질것 이다. 화면의 웃부분은 
RealSecure 차 림 표 이 다 . 
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그림 8-8. RealSecure 조종락화면 


든 기능은 내리펼침차림표나 혹은 도구띠를 통하여 작용한다. 화면아래에 수? 
있 다. 

창문은 련속 감시 를 받고 있는 모든 수감기 들을 현시한다. 

가 를 받지 않는 수감기 는 자료를 여 전히 수집하며 이 정 보를 조종탁에 로 쉽 게 
없다. 

가할 조종탁을 선택 하기 위 하여서 는 수감기차림 표로부터 Sensor ᅳ Monitor Sense 
가오. 


모든 정 보화면을 보기 위 하여 서 는 800 X 600 혹은 그이 상의 화면해 상도를 리용 


곡한 Monitor Sensor 는 Add Sensor 대 화칸을 만들어 낸다. 감시 하려 는 모든 - 
선택 하기 위 하여 서 는 이 창을 리용하여 야 한다. 같은 콤퓨터상에 조종탁과 
;tWork Sensor 가 설치되여 있다면 국부호스트수감기에 대한 하나의 항목을 보 
는감기가 원격를퓨터상에 있다면 Add 률 찰칵하고 IDS 수감기의 IP 주소에 기 입경 
止상에 있는 매개 수감기 에 대 하여 이것을 수행한다. 다음에 원하는 매 개 수? 

띄우게 강조하고 그것 들을 감시 하기 위하여 OK 를 찰칵한다. 

3■기 가 Sensor View 우에 나타날 때 Maintenance 차림 표를 만들기 위 하여 특가 
3•목을 오른쪽찰칵할수 있다. 이 차림표로부터 주어 진 수감기의 특징들을 구" 





만일 Network Sensor 를 선택 하였 다면 그림 8 - 9에 보여 준 Sensor Properties 화면 이 
다. 

Network Sensor Properties 화면의 Policies 창은 IDS 가 리 용할 보안방책의 형 식을 정 
i 게 한다. 다음의 내 용들을 선택할수 있 다. 

Web Watcher 는 HTTP 에 기 초한 공격 징 후들을 모든 Web 자료흐름에 적 용한다 

PMZ Engine 은 DMZ (비 무장지 대 ) 안에 서 의 자료흐름을 분석 하고 내 부망으 
DMZ 를 교차시키려는 시도들을 람색한다. 

Engine Inside FireWall 은 내부망의 자료흐름을 주사하여 비정상적 인것들을 
는다. 

For Windows Networks 는 Windows 자료가 아닌것 을 화면 에 서 제 거 하는 U J 
으로 IDS 체계를 최적화하면서 Windows 에 기초한 징후들만을 망상의 
료에 적용한다. 

Maximum Coverage 는 모든 서명과 모든 통신규약모양을 허용하며 모든 결 
를 조종탁에 보낸다. 

Protocol Analyzer 는 실제 망자료를 보는데 리 용된 다. 징 후들은 이 방책 으로 
활성화되지 않는다. 그것들은 주로 망에 흐르는 자료들에 대 한 어떤 
각을 관리자에게 주도록 하는데 리용된다. 

Session Recorder 는 NNTP , FTP , SMTP 자료흐름을 위한 기정의 련결정 보를 
공한다. 이 기 정 값들은 변경 가능방책 을 만들기 위하여 변형 되 게 된다 

Attack Detector 는 아주 긴장한 자료만을 처 리한다. 즉 이 방책 은 망자료해 




주 의 

IDS 수감기 가 수행하여 야 할 확인 이 더 많을수록 요구되 는 능력 이 더 크다는것 을 
기 억하여 야 한다. 특정의 취 약성 들만을 검 사하도록 여 러 가지 방책 들이 설계되 여 
있다. 

물론 방책은 정 확히 맞지 않을수 있다. 그러므로 여 기서는 방책들중의 하나를 견본 
으로 리용하여 요구에 부합되게 그것을 변경시키는 문제를 고찰한다. 임의의 기정방책들 
을 직접 편집 할 대신에 가장 가까운것을 선택 하고 Derive New Policy 단추를 찰칵한다. 
여 기서 선택된 방책 에 이 름을 줄수 있다. 일 단 이 과제 가 수행 되 면 설 치정 형 을 보기 위 
하여 Customize 를 찰칵한다. 그러면 Policy Editor 창문이 나타난다. Policy Editor 는 보안과 
련결사건들을 변경시키고 사용자정의된 사건들을 만들어 내며 려과기들을 설정하도록 하 
여 준다. 

그림 8-10 에서 보여 준바와 같이 창문 왼쪽에 개별표적들을 보여 주는 나무가 있고 
오른쪽우에 는 상세한 목록이 있 다. 한편 오른쪽 아래 에 는 창문 왼쪽에 서 선택 된것 에 대 
한 설명 이 연시되 여 있 다. 



그림 8-10. Policy Editor 화면의 Security Events 표쪽 


Security Events 칸은 IDS 가 어떤 공격을 감시하며 특정의 동작이 검출되였을 때 어떻 
게 작용할것 인 가를 설 정 할수 있 게 한다. IDS 수감기 는 Enabled 렬 에 서 검 사된 매 개 항목을 
찾는다. 만일 어떤 특정의 작용에 대 하여 안전하다는것을 안다면 그것에 대한 검사를 하 
지 않고 자원을 보호할수 있다. 

실례로 어느 콤퓨터도 봉사로서 Finger 를 돌리지 않는다면 Finger 약점을 검사할 필요 
가 없다. 
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일러두기 

특정의 약점에 대하여 항상 걱정을 하지 않아도 된다면 직결 Help 는 목록에 기입된 
매개 약점에 대하여 훌륭한 설명을 준다. 약점에 대한 우려가 여전히 있다면 심중 
하게 대하는것 이 좋으며 IDS 가 취 약성을 검사하게 하여 야 한다. 


Priority 렬 은 매 사건 에 관하여 긴급성 정 도를 선택하게 한다 . 

그림 8-8 로 되 돌아 가보면 매 개 우선권준위 가 자기 창문에 현시되 여 있는것 을 보게 
된 다. 

이것은 후에 조사하려는 자료흐름과 즉시적 인 관심 을 돌려야 할 자료흐름사이를 빨 
리 구별하도록 해춘다. 

또한 후에 보고할 항목들을 배 렬하는데 도움을 주게 된 다. 

망에 대 하여 설정한 우선권에 관계 없 이 Display 칸은 ( Response 렬아래 ) 세개의 조종탁 
창문들중의 하나에 기 입된 사건들을 발견하기 위하여 검 사되 여 야 한다. 

Response 렬을 찰칵하면 그림 8_11에서 보여 준 Action 대화칸이 나타난다. 
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그림 8-11. Response 대화칸 

여 기 로부터 특정사건이 발견되 였을 때 IDS 수감기 가 반응하도록 하는 방법 을 선택할 
수 있다. 이것은 사건을 단순히 기 록하는 정 도로 편리하거 나 접 속을 끊고 방화벽규칙 을 
변경시키며 전자우편이 나 SNMP 트랩통보를 통하여 사건통지 문을 보내 는것 처 럼 반응성 이 
좋을수 있 다. 공격 을 문서 로 완전히 기 록하기 위하여 파케 트들의 원천자료를 기 록할수도 
있 다. 

Policy Editor 차림표에서 Connection Ewnts 칸을 찰칵하면 그림 8-12에서 보여 준 화 
면 이 제 시된다. 더 작은 세 분화를 요구할 때 Connection Events 화면을 리용하여 야 한 
다. 실례로 DMZ 망상에 있는 Web 봉사기를 가지고 있다고 가정하자. Web 봉사기가 외 
부세계로부터 련결을 기대한다고 하여도 이 체계는 다른 체계와의 그 어떤 련결도 설 
정할수 없다. 

만일 그것 이 발생 한다면 Web 봉사기는 다른 체 계를 조사 혹은 공격하려 고 하는 공격 
자에 의하여 손상될수 있 다. 

Connection Events 설 정 을 리 용하면 Web 봉사기 로부터 발생 하는 모든 원 천 자료흐름을 
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감시 하기 위 한 3개 의 방책 규칙 들을 쉽 게 설 치 할수 있 다 . 세 개 가 요구되 는것 은 TCP 를 위 
하여 한개 규칙 , UDP 를 위하여 한개 규칙， ICMP 를 위하여 한개 규칙 을 설 치하여 야 하 
기때 문이 다. 원천주소로는 Web 봉사기의 IP 주소를 리용하여 야 한다. 이 체 계 에서 발생하 
는 모든 자료흐름을 통지하려 고 하기 때 문에 목적 지 주소，원천포구，목적 지 포구를 Any 로 
설 정 한다. 

추 __°1 

이것을 강력한 도구로서 이상하다고 보는 사건외 에 도 더 많은것을 감시할수 있게 
하여 준다. Connection Events 설정 은 약점 이 발견되지 않았다고 하여 도 특정 한 봉 
사를 감시하는데 리용될수 있다. 

Edit Policy 차림표의 User-Specified Filters 칸은 IDS 가 감시하지 않는 체계나 또는 특 
정의 봉사를 구성하도록 한다. 이 것은 특정의 자료흐름이 기록되지 않도록 하려 고 할 때 
유용하다. 실례로 탁상체계 IP 주소에서 모든 HTTP 자료흐름을 려과할수 있다(여기에는 이 
특성 에 대 한 약간의 보안관련 리유가 있을수 있 다. ) . 

마지 막으로 Filters 칸은 일 부 규약，접 속형 태，자료흐름을 무시하게 한다. 특히 해 커 
가 일 반 ( DNS , FTP , HTTP 등)체 계 이 상으로 봉사를 점 유하고 있 다고 의 심 하는 경 우에 이 
것 이 유익할수 있 다. 포괄적 인 방책 을 확립 하고 일 반규약들을 무시하면 비 정 상적 인 자료 
흐름모형들이 끝까지 남아 있을수 있다. 


그림 8 _ 12. Policy Editor 차림 표에서 Connection Events 칸 

수감기방책편집을 끝냈을 때 Sensor Properties 화면에서 OK 를 눌러 Policies 칸에로 돌 
아 간다. 방책 변화를 만들고 Apply to Sensor 단추를 리용하여 그것을 적 용한다. 이것은 
수감기를 변경시키기 위 하여 General 칸조작을 앞으로 더 해 나갈수 있게 한다. 
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조종탁과 송신하는 포구번호를 보거 나 변화시 
고 있 으며 지 어 RealSecure 쏘프트웨 어 가 어 느 
i 통은 이 설정 을 변화시키 지 않는다. 

江은 수감기가 오유, 경고，정보알리기와 같은 
3개의 준위들을 결정한다. 매 준위는 허락 또 
조종탁에 통지하거 나 SNMP 트램 을 제3자의 꼭 
Encryption 칸은 모든 가능한 제 공자들파 함께 
통신을 암호화하는데 리용되 는 체 계 )를 보여 
다음 칸에서 수감기를 위한 련결 및 검 열설정 
T Event 기 록으로부터 모든 수감기 항목들을 밀 1 
- 혹시 수감기자체가 문제를 안고 있다면 수김 
는가를 관리 자가 빨리 알수 있게 해준다. 

-이 매 개 개 별적수감기 방책 에 대 하여 구성 될ᅀ 
-11 리용될수 있 다. View 차림 표에 서 Global Res 


암호제공자 (수감기 
나용자가 OS 수감기 
한다. 마지막으로 
그것들을 창문에 < 
작체계와 어떻게， 








변경가능한 이 화면우에는 일부 중요한 구성선택방안들이 있다. 가장 중요한것 
은 Tag RealSecure Kills 검 사칸을 현시하는 RSKILL 항목이 다. 이 칸이 검 사되 면 
RealSecure 는 대 화중지를 위 하여 리 용된 모든 파케 트들에 정보를 추가한다. 이것은 
련결이 끊어 진 리유를 사람들이 알게 하여 준다. 자료흐름은 분석기 아니면 이러한 
자료흐름을 보기 위하여 특별히 설계된 도구에 의하여 검사되 여 야 하지만 Realsecure 
가 련결 을 중단하였 다는것 을 방송하는것 은 수집하려 는것 보다 더 많은 정 보를 손에 
넣을수 있게 한다. IDS 수감기를 보이지 않게 하려고 한다면 이 선택을 무효로 하여 
야 한다. 

이 칸에 는 련합작용항목을 리용하는데 요구되 는 정 보를 넣 을수 있는 본문칸들이 있 
다. 실례로 만일 어떤 사건들에 대한 전자우편통보를 받으러고 한다면 우편통로와 예정 
전자우편주소를 보장하여 주어야 한다. 

다른 실 례 로서 Lucent 와 Check Point 방화벽 을 들수 있다. 창문의 왼쪽구역 에 있는 
LMF 그림기 호를 찰칵하면 그림 8-14 에 서 보여 준것 과 같이 오른쪽구역 에 Lucent Firewall 
선택 이 현시된다. 이 화면으로부터 사건들이 발생할 때 통지하여 야 할 방화벽의 IP 주소 
와 그것과 접촉하는데 리용할 열쇠를 지정할수 있다. 








LMF 아래 에 있는 선택은 OPSEC 이 며 이 것은 Check Point 의 방화벽-1을 가리 킨다. 이 
창의 선택 들은 Notify 를 포함하며 방화벽-1이 기 록된 사건들을 어 떻게 기 입하겠는가를 
지 정하게 한다. 

Action 항목은 방화벽이 사건에 어떻게 응답하며 단순히 통지만 할것인가，사건을 금 
지 시 키 는가 또는 금지 시 키 고 련 결 을 끝내 는가를 지 정 한다 . Fire Wall Host 는 어 느 방화벽 
경 로기 들이 영 향을 받는가에 따라 통로장치 들 혹은 관리 자가 지 적하는 다른 장치 들을 확 
정 한다. 

Inhibit Expiration 선택은 규칙변경이 수행 되겠는가 아니면 지정된 시간주기 이후에 
제거되겠는가를 지정 할수 있게 한다. 마지 막으로 Initialization Settings 와 Event Port 선택 
들은 IP 주소와 방화벽-1관리봉사기의 도구번호를 지정한다. 

일 단 수감기구성 변경을 끝내면 체계 (변경 이 Global Responses 페지 로 만들어 지는 경 
우) 혹은 Responses 창문의 수감기에 그 변경을 적용한다. 0 K 를 찰칵하고 체계 또는 수 
감기에 대한 변경을 하고 이러한 새로운 방책에 따라 앞으로의 모든 자료흐름감시를 수 
행 한다. 


W __ °i 

여러 개의 수감기인 경우에는 매개에 대한 구성 단계대신에 Global Responses 를 리용 
하여야 한다. 


사건감시 

RealSecure 조종탁에서 사건들을 감시 할수 있 다. 화면의 오른쪽에 있는 Priority 창문 
들은 일 단 사건들이 발견되 면 그것 들을 현시하기 시 작한다. 

어느 한 보호체계에 대한 공격을 개시하는 방법으로 한개 사건을 발생시키려고 할수 
있다. 공격 시 도가 없 다면 간단한 포구주사로서 IDS 수감기 가 작업중이 라는것 을 충분히 
확증할수 있다. 

화면의 왼쪽은 RealSecure 조종탁의 Active Tree 인데 (그림 8_15) 그것 은 원천 IP 주소，목적 
지 IP 주소 또는 특수사건에 따라 모든 최근의 작용을 빨리 분류할수 있게 해춘다. 이것은 무 
슨 자료흐름이 망을 통과하였는가를 결정할수 있는 아주 유력 한 도구이 다. 실례 로 그림 8- 
15의 긴급보기 는 24.6.91.205 IP 주소에 서 그 누군가가 NetBIOS 대 화를 통하여 이 NT 체 계 (IP 
주소 24.92.184.100) 에 접 근하려 고 시 도했 다는것 을 보여 준다. 


일러두기 

매 검 출된 취 약성 에 대 하여 오른쪽찰칵함으로써 그것 의 약점 서술에 접 근할수 
있 다. 














어디서 매개 콤퓨터가 가동하고 있는가를 정확히 알수 있을 때까지 나무를 펼치면서 
가지뻗기를 계속 할수 있다. 

나무배 비도의 제일 아래 준위에서 개별적 사건을 오른쪽찰칵함으로써 감시사건선택을 
취함수 있다. 이것은 사건감시기창문을 만들며 상세도의 높은 준위 즉 작용이 가해 진데 
따라서 원천과 목적지! p 주소，통신규약，원천과 목적지포구(정보형태와 값을 포함한다.) 
를 제공하여 준다. 실제상 령역이름에 요청을 보내는 체계의 IP 주소를 변환할수 있다(그 
림 8-16 을 보시 오. ) . 이 것 은 유익 한데 령 역 이 름을 알면 령 역 이 름소유자와 접 촉할수 있 으 
며 결국 특정의 체계에 대한 작용을 추적할수 있다. 

이것은 해커를 발견할수 있다는 담보로는 되지 않지만 적어도 체계에 침투할 목적 
으로 리용된 한개의 접근수단을 배제할수 있다. 그림 8-16 에서 봉사기에로의 망련결요 
청 이 home.com 령 역 상의 콤퓨터 로부터 온다는것 을 알수 있 다(이 것 은 @ Home , AT&T 
의 케블모뎀 ISP 에 관하여 예 약된 이름이 다.). 령역이름소유자들로부터 접촉정보를 알 
기 위하여 WHOIS 질 문을 할수 있다. @Home 은 개 별콤퓨터이 름이 붙은 사용자들의 통 
과흔적 을 유지보존하며 그것 들은 자기의 의 뢰 자들에 의한 체 계의 무효조사를 금지하는 
방책 을 직 접 리용한다. 

Destination 칸은 많은 항목들을 가지고 있 다. 차이점은 나무가 목적지 IP 주소 또는 호 
스트이름을 배렬한다는것이다. 가지들을 따라 가면서 매개 주소에 누가 접근했는가와 무 
슨 자료흐름이 발생했는가를 알수 있 다. 

보고기능 

침입검출체계는 상세한 요약관리보고기능이 없이는 완성되였다고 볼수 없다. 
RealSecure 조종탁으로부터 보고를 하도록 하기 전에 매 개 수감기 자료기 지 에 기 록된 자료 
를 보내야 한다. 이것을 RealSecure 조종탁차림표에서 File — Synchronize All Log 를 설정 
하는 방법 으로 수행한다. 

모든 자료가 조종탁에 전송된투에 보고기 능을 기 동할수 있다. Real Secure 조종탁차 
림표에서 View ᅳ Reports 를 선택한다. 체계는 미 리 준비된 많은 보고 기능을 포함하고 
있다. Top 20 Events 보고화면이 그림 8_17에 제시되였다. 

Top 20 Events 보고는 망우에서 무엇 이 일 어 났는가를 20,000피 트눈금으로 보여 줄수 
있게 설계되였다. 더 상세한 내용이 요구된다면 왼쪽렬로 배렬되여 있는 어느 한 사건을 
선택할수 있다. 그러면 그 사건의 매개의 기록된 실례들을 보여 주는 추가적 인 본문보고 
를 보여 준다. 물론 모든 보고내용들은 RealSecure 조종탁이 국부망 또는 망인쇄기에 접 
근을 가지고 있다면 인쇄될수도 있다. 
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자료기지는 ODBC - 호환성 을 
，기 지프로그람을 가지 고 자 i 
I 된 정 보를 해 석 하고 보고하 


유연성을 보장하여 


서는 침입검출체계의 기초와 
IDS 제품들의 일부 우결함을 


하는데 어떻게 리- 
다. 잘 판매되고 ! 
급하였다. 





제 9 장. 인증과 암호화 


인증과 암호화는 자료의 안전을 보장하기 위하여 호상 련관된 두가지 기술이 다. 인 
증은 서로 통신하고 있는 쌍방이 실제로 자기들이 옳다는것을 담보하는 과정이다. 이것 
은 봉사에 가입 하려는 실체 (말단사용자)뿐아니라 봉사를 제공하는 실체 (봉사기 또는 
Web 싸이트) 에 대 하여 서 도 마찬가지 로 적 용된 다. 암호화는 대 화조종과정 에 정 보가 손상 
되지 않는다는것을 담보한다. 《손상》이라는 의미는 자료흐름에서 정보의 읽기만이 아 
니라 그것의 변경도 포함하고 있다. 

인증과 암호화는 각기 자체의 고유한 통신대화의 보안을 보장하여야 할 책임을 가지 
고 있지만 최상의 보호는 이 두가지가 결합될 때에만 이룩될수 있다. 이러한 리유로 하 
여 많은 보안통신규약들이 이 두가지 특성을 다 포함하고 있다. 

보다 높은 보안들 우 I 한 요구 

현재 인터네 트상에서 리용되 는 IP 판본 4가 1970년대 에 개 발되 였을 때 까지 만 하여 도 
망보안은 기 본관심 사가 아니 였 다. 체 계보안이 중요하였지 만 정 보교환에 리용되 는 전송에 
는 주의가 적게 돌려 졌다. 또가 처음으로 개발되였을 때 그것은 자기의 고유한 보안표 
준을 가지지 못하였다. IP 규약은 IP 가 전송하고 있는 자료를 보호하여야 한다는것을 고 
려하지 않았다. 앞으로 IP 판본 6으로 교체된다고 하여도 그것 이 널리 퍼지기 에는 여 러 
해 가 걸릴수 있 다. 

평문전송 

IP 는 일 반적 으로 평문자료들을 전송하는데 이것 을 보통 순수한 상태의 전송이라고 
한다. 이것은 자료가 주파수변경 또는 재배렬없이 단순히 원래의 형태로 전송된다는것을 
의 미한다. 전송되 는 자료에 는 자료와 함께 인증정 보가 포함된다. 이 처 리 과정 을 그림 9- 
1에 서 설 명한다. 
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그림 9-1. 인증대화를 시작하는 파케트의 해신 
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그림 9-1 은 동신대화에 대한 망분석기보기창을 보여 준다. POP 3 우편의뢰기를 가지 
고 우편을 검 색하려 는 사용자가 있 다고 하자. 파케 트 3〜5는 련결 을 초기 화하는데 리용 
된 TCP 3-파케트신호교환이다. 파케트 6，7은 POP 3 우편봉사기 에 의뢰기가 련결 및 준 
비되였다는것을 알려 준다. 파케트 8로부터 매우 흥미 있는 정보들을 알수 있다. 그림 
9-1 의 아래부분을 보면 파케 트 8에 서 자료마당의 복호화된 내 용을 알수 있다. 지 령 
USER 는 POP 3 봉사기 에 POP 3 의뢰기의 가입 등록이름을 보내는데 리 용된다. USER 지 령 다 
음의 본문은 체계 인증을 시도하는 사용자의 이름이 다. 

그림 9-2 는 이 가입등록이 름에 대 한 POP 3 봉사기 의 응답을 보여 준다. 파케 트 9의 
내용으로부터 가입등록이름이 접수되였다는것을 알수 있다. 이 가입등록이름은 그림 9-1 
에서의 가입등록이름과 같다. 만일 사용자의 통과암호를 알수 있다면 체계에 접근하여 
충분한 정보를 엄을수 있을것이다. 


그림 9-2. 가입등록이름을 접수하는 POP3 봉사기 

그림 9-3 에서 파케트 11의 복호화된 내용을 볼수 있다. 이것은 POP 3 우편의뢰기가 
봉사기 에 보내는 다음의 지 령 들이다. 지 령 PASS 는 의뢰기 가 통과암호렬을 보내는데 리 
용된다. 이 지 령 다음의 본문은 체 계 인증을 시도하는 사용자의 통과암호이다. 여 기서 알 
수 있 는것 처 럼 통과암호는 평문으로 보인 다. 


그림 9-3. 사용자의 통과암호를 보내 는 POP3 의 뢰기 

그림 9-4 에서는 파케트 12의 해신된 내용을 볼수 있다. 이것은 인증시도에 대한 봉 
사기 의 응답이 다. 봉사기 가 가입등록이 름과 통과암호결 합을 접 수한다는것 에 주목하여 야 
한다. 우의 과정은 정당한 가입등록이름과 통과암호를 가지고 체계의 접근을 얻기 위한 
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그림 9-4. 인증시도를 접속하는 POP3 봉사기 


평문피동감시 

이 POP 3 인증대 화는 망분석 기 를 리용하여 엄 는다. 망분석 기 는 전용하드웨 어도구나 
현존 체계우에서 실행되는 쏘프트웨어이다. Windows 혹은 Mac 플래트홈용망분석기쏘프 
트웨어 는 천딸라미 만으로 구입할수 있 으며 UNIX 에 서 자유롭게 리용할수 있 다. 

망분석 기들은 실제 적 으로 자료흐름을 감시 하기 위하여 망우의 모든 자료를 다 전송 
할 필요가 없다는 의미에서 피동장치들이다. 어떤 분석기들은(보통 관리상태를 알아 내 
기 위한 목적 에서)자료흐름을 전송하는데 이것은 곡 필요한것은 아니 다. 사실상 분석기 
는 유효한 망주소를 요구하지도 않는다. 이것은 망분석 기 가 망을 감시할수 있다는것을 
의 미하며 케 블추적 과 집 선기 및 교환기포구들을 조사하지 않고서 는 그것 의 존재 를 알아 
낼 수 없 다는것 을 의 미한다. 

공격 자는 손상된 체 계우에 망분석 기쏘프트웨어 를 설 치할수 있다. 이 것은 공격 자가 
자료흐름을 감시 하기 위하여 설비 에 물리적 으로 접 근할 필요가 없다는것을 의미한다. 공 
격 자는 간단히 현존 체 계 들중의 하나를 리용하여 목적하는 자료흐름을 얻 을수 있 다. 그 
러 므로 체 계들에 대 한 정상적 인 검 열을 진행하는것 이 아주 중요하다. 누구도 피동감시공 
격을 알아 차리지 못하는것을 원치 않을것 이 다. 

망분석기 가 통신대화를 얻 기 위 하여서 는 대 화경 로의 어느 한 곳에 련결되 여 야 한다. 
이것은 망우에서 대화를 시작하는 체계와 목적지체계사이의 어느 한점이 될수 있다. 이 
것은 또한 대화의 어느 한쪽끝에 있는 체계를 손상시킴으로써 실현할수도 있다. 이것은 
공격 자가 원격위 치 에서 인터네트상의 망자료흐름을 엄 을수 없다는것 을 의미한다. 공격 자 
는 반드시 망내부에 어떤 형 태의 감시기 나 분석 기 를 배 치하여 야 한다. 

추 __°1 

4 장에 서 설 명한바와 같이 망다리，교환기，경 로기 들을 리용하면 분석 기 가 엄 으려 는 
자료량을 줄일수 있다. 
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평문통신규약 

POP3 은 평문으로 통신하는 유일한 IP 봉사는 아니 다. 거 의 모든 IP 봉사들이 인증과 
암호화를 제 공하지 않으며 평문으로 자료를 전송한다. 일부 평문봉사들은 다음과 갈다. 

FTP 인증은 평문이 다. 

Telnet 인증은 평문이 다. 

SMTP 우편통보문의 내용은 평문이 다. 

HTTP 홈안에 있는 페지내 용과 마당내 용들은 평 문이 다. 

IMAP 인증은 평문이다. 

SNMPvl 인증은 평문이 다. 


§__5 

SNMPvl 이 평문을 리용한다는것 은 특히 좋지 않다. SNMP 는 망장치 들을 관리 하고 
문의하는데 리용된다. 이러한 장치들에는 교환기와 경로기 지어 봉사기와 방화벽까 
지도 포함된다. SMTP 통과암호가 손상되면 공격자는 망에 커다란 피해를 줄수 있다. 
SNMPv2 와 SNMPv3 은 열 린 최 단경 로규약 (OSPF) 과 류사한 통보문알고리 듬을 포함한 
다. 이것은 원래의 SNMP 보다 높은 준위의 안전성과 자료완전성을 보장한다. 유감 
스럽게도 많은 망장치들이 SNMPv3 은 물론 SNMPv2 도 지원하지 못하고 있다. 현재 
는 SNMPvl 이 널리 리용된다._ 


인증의 필요성 

좋은 인증에 대 한 요구는 지 금에 와서 는 명 백한것 으로 되 였 다. 평문으로 전송되 는 
가입등록정보는 감시하기 매우 쉽다. 쉽게 해독될수 있는 가입방법은 통과암호가 변경되 
지 않는 환경에서 보다 큰 문제를 발생시킬수 있다. 이러한 경우 공격자는 손상된 구좌 
를 리용하여 망을 쉽 게 공격할수 있 다. 많은 사용자들은 모든 구좌에 대 하여 같은 가입 
등록이름과 통과암호를 오래동안 리용하려고 한다. 이것은 POP3 과 같은 안전이 담보되 
지 않은 봉사로부터 인증증서를 얻을수 있는 경우 NT 나 NetWare 봉사기들과 같은 망의 
다른 체 계 들에 대 한 정 당한 가입등록이 름과 통과암호를 가질 수 있 다는것 을 의 미한다. 

좋은 인증은 가입초기에 봉사접속을 하려는 원천들이 정당한가를 확인한다. 또한 통 
신대 화과정 에 원천 이 공격하는 호스트에 의하여 교체 되 지 않았는가를 확인하여 야 한다. 
이 러한 형태의 공격을 흔히 대화가로채기라고 한다. 


대화가로재기 


그림 9-5 에 보여 준 망을 고찰하자. 의 뢰기는 봉사기와 불안전한 망련결상태 에서 통 
신하고 있다. 의뢰기는 이미 봉사기 에 인증되 였고 접 근이 허 락되 였 다. 한가지 흥미 있는 
실례 를 만들어 보자. 의뢰기 가 관리 자준위특권을 가진다고 가정 하자. 공격 자는 의뢰기 와 
봉사기 사이의 망토막에 있 고 대 화를 감시 하면서 대 화에 리용되 는 포구와 순서번 호들을 
알아 낸다. 
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이제 공격자가 관리자준위의 특권을 가진 새로운 구좌를 만들기 위하여 관리자의 대 
화를 가로채려 한다고 가정하자. 먼저 공격자는 의뢰기가 봉사기와 더는 통신할수 없는 
상태 로 만들어 놓는다. 이 를 위하여 공격 자는 WinNuke 와 같은 도구프로그람을 리용하든 
가 또는 죽음의 Ping 을 보내 여 의뢰기 를 정 지시 킨다. 또한 ICMP 범 람과 같은 공격 으로 
정지시킬수도 있다. 어떤 형태의 공격을 진행하든 그 목적은 의뢰기가 봉사기에서 보낸 
자료흐름에 응답할수 없도록 하는것이다. 


추__°1 

ICMP 범람의 목표로 된 체계는 ICMP 요구에 응답하는데 많은 시간을 소비하기때문 
에 다른 통신들은 진행할수 없 다. 


결국 의뢰기 가 마비되 고 공격 자는 마치 자기 가 의뢰기 인것 처 럼 봉사기와 자유톱게 
통신하게 된다. 공격자는 의뢰기에로 오는 봉사기의 응답을 받아 적당한 응답을 만든다. 
만일 공격 자가 IP 에 대한 상세한 지식을 가지고 있다면 봉사기로부터 예견되는 응답에 
기 초하여 봉사기 의 응답과 전송포구 그리 고 순서번호들을 완전히 무시해 버 릴수 있다. 
어느 경우에나 공격자는 봉사기가 여전히 원래의 의뢰기와 통신하고 있는듯이 만들어 놓 
는다. 

결국 좋은 인증에서는 원천체계가 다른 체계와 바꾸어 지지 않았다는것을 확증하여 
야 한다. 이것은 두 체계가 통신대화과정에 서로 비밀정보를 교환하는 방법으로 해결할 
수 있다. 비밀정보는 대화과정에 전송되는 매 파케트마다 또는 우연시간간격으로 교환할 
수 있다. 명백히 매 파케트마다 원천을 확인하는것이 우연시간간격으로 원천을 확인하는 
것보다 훨씬 더 안전하다. 통신대화과정에 매 파케트를 교환할 때마다 비밀정보를 바꾸 
면 보다 안전하다. 이렇게 하면 대화는 대화가로채기에 보다 안전하도록 할수 있다. 

목적지확인 

통신대 화가 시 작된 때 로부터 전 과정 에 원천을 확인하여 야 한다는것 은 명 백하다. 그 
러 나 봉사기 를 확인 할데 대 한 요구는 명 백하지 않다. 많은 사람들은 자기 의 봉사기 에 련 
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결하거나 어떤 형태의 호스트로부터 도달불가능한 통보문을 받는것을 당연한것으로 생각 
하고 있다. 그러나 그들이 대화하고 있는 봉사기가 사실상 망을 공격하려는 공격자일수 
도 있다는것은 모를수 있다. 

C 2 MYAZZ 

도구프로그람 C2MYAZZ 는 대 화가로채 기 혹은 중개 자로 알려 진 봉사기속임공격 의 
전형적인 실례이다. Windows 95 가 처음으로 나왔을 때 그것은 대화통보문블로크 (SMB) 
체계에 인증하는 두가지 방법을 가지고 있었다. 암호화된 통과암호를 리용하여 인증하는 
것 이 기 정 으로 되 여 있 었 다. Windows NT 령 역 에 서 의 인증에 도 이 방법 이 리 용되 였 다. 
그러 나 SMB LANMAN 봉사기 와의 아래 방향호환성 을 보장하기 위 하여 LANMAN 인증도 
리용되 였 다. LANMAN 은 가입등록이 름과 통과암호를 평문으로 전송할것 을 요구한다. 
C2MYAZZ 이 기동하면 그것은 의뢰기가 NT 봉사기에 인증될 때를 피동적으로 기다린다. 
가입등록이 검출되면 C2MYAZZ 는 LANMAN 인증을 요구하는 하나의 파케트를 의뢰기에 
보낸다. 

의뢰기는 이 파케트를 가입등록을 요구 한 봉사기 에서 보낸것 으로 믿고 증서를 평문 
으로 다시 전송한다. 이 때 C2MYAZZ 도구프로 그람은 가입등록 이 름과 통과암호를 획 득하 
여 현시한다. C2MYAZZ 는 의뢰기의 대 화를 파괴하지 않고 사용자가 여전히 가입하여 
체 계접근을 실현할수 있게 한다. 이 도구프로 그람의 특징은 하나의 기동 디스크로 실행할 
수 있다는것이다. 다시 말하여 공격자는 이 디스크로 체계를 기동시킨 후에 엄어 진 증 
서 를 가지 기만 하면 된 다. 


W __ °i — 

Microsoft 는 이 취 약성에 대한 수정보충프로그람을 발표하였다. 이 프로그람은 모든 
Windows 95 워 크스테 이 션에 설 치하여 야 한다. Windows 의 그이 상의 판본들에 서 는 이 
취약성을 극복하였다. 


DNS 중독 

인증을 필 요로 하는 또 다른것 은 DNS 중독 (poisoning) 이 다. 일 명 캐쉬중독이 라고도 
하는 DNS 중독은 실지 목적 지 로부터 의 자료흐름을 변경시 킬 목적 으로 특정호스트에 대 한 
틀린 IP 주소정보를 넘겨 주는 과정이다. Eugene Kashpureff 는 1997 년 여름에 이것이 가능 
하다는것 을 증명하였 다. 그는 DNS 봉사의 취 약성 을 리용하여 InterNIC 호스트들에 대 한 
요청을 AlterNIC 라고 하는 자기의 대 리령역이름등록싸이트로 돌렸다. 

이 름봉사기 는 DNS 문의 에 대 한 응답을 수신할 때 특별히 요구되 지 않는 정 보들은 무 
시 하거 나 응답의 원천을 확인하지 않는다. Kashpureff 는 이 약점 을 리 용하여 정 당한 응답 
에 가짜 DNS 정보를 포함시켰다. 응답을 수신한 이름봉사기는 유효정보뿐아니 라 가짜정보 
도 보관한다. 결 파 사용자가 InterNIC 의 령 역 (례 하면 whois 질 문에 리 용되 는 rs.intemic.net) 
내 에 있는 한 호스트의 주소를 알려 고 하였지 만 그는 AlterNIC 의 령역 내의 IP 주소를 받 
게 되며 AlterNIC 망우의 체계로 유도된다. 

Kashpureff 의 공격을 좀 더 고찰하면 몇가지 훨씬 더 심각한 문제점들을 엄어 낼수 
있을것 이 다. 직결은행거 래 가 리용되 던 때 에 누군가가 은행의 Web 싸이트로부터 자료흐름 
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을 돌려 놓았다고 생각해 보자. 은행 자료흐름을 다른 봉사기로 돌려 놓기 위 하여 캐쉬중 
독을 리용하는 공격 자는 은행의 진짜봉사기와 꼭 갈은것으로 보이도록 가짜봉사기를 만 
들수 있다. 

은행의뢰기 가 자기의 은행구좌들을 관리 하기 위하여 은행의 Web 봉사기 에 인증하려 
고 할 때 공격 자는 인증정 보를 얻 어 내고 간단히 체계 가 현재 비직결상태 라는것을 나타 
내는 기발창문을 사용자에게 보일수 있다. 의뢰기가 우연히 IP 주소에서의 불일치를 알아 
차리지 못하는 이상 수자식증명서가 리용되지 않고서는 자기가 다른 싸이트로 돌려 졌다 
는것을 알수 없다. 


둑__°1 

수자식증명서는 이 장의 뒤에서 나오는《수자식증명서봉사기》에서 서술한다. 


자기 가 인증하려 고 하는 봉사기 를 확인하는것은 의 뢰기의 증서 또는 대 화의 무결 
성을 확인하는것만큼 중요하다. 통신과정에 있는 이 세 문제점들은 모두 공격에 대하 
여 약하다. 


암호화 101 

암호학은 정보를 후에 다시 회복할수 있는 다른 형태로 전송하는데 리용되는 기술들 
의 집합이다. 이 다른 형태를 암호문이라고 하며 그것은 암호화알고리듬과 암호열쇠에 
의 하여 만들어 진다. 암호알고리 듬은 단순히 암호화하려는 정 보에 적용되는 수학공식 이 
다. 암호열쇠는 매번 정보를 알고리듬이 처리할 때 같은 계산조작을 리용하여 암호문이 
유도되지 않도록 하기 위하여 알고리듬에 넣 어 주는 보충적 인 변수이 다. 

이제 수 42가 당신에게 있어서 극히 중요한 수이며 그것을 다른 사람들이 알지 못하 
도륵 지 키 려 한다고 하자. 이 자료를 암호화하기 위하여 다음과 같은 암호알고리 듬을 리 
용할수 있다. 


자료 / 암호화열 쇠 + (2 X 암호화열 쇠 ) 

이 과정 은 암호알고리 듬 그자체 와 암호열 쇠 이 두가지 에 달려 있다. 이 둘은 다 암 
호문을 만드는데 리용되 며 암호문은 새 로운 수값으로 된 다. 암호문을 되 살려 42를 얻 어 
내려면 알고리듬과 열쇠를 다 가지고 있어야 한다. 열쇠를 리용하지 않는 씨저암호 
(Caesar ciphers ) 로 알려 진 덜 안전한 암호알고리듬도 있으나 이것은 암호열쇠의 보충적 
인 안정 성 을 가지 지 못하는것 으로 하여 그리 쓰이 지 않는다. 암호문을 복호화하기 위하 
여 씨저암호알고리 듬만 알면 된 다. 


죽__°1 

줄리우스 씨저는 암호화를 리용한 첫 사람들중의 하나로 인정되고 있다. 그는 자기 
의 군대에 통보를 보내기 위하여 간단한 형식의 암호화를 리용하였다. 
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암호화는 수학공식들을 리용하므로 다음의 내용들사이에는 공생관계가 이루어 진다. 


• 알고리듬 

• 열쇠 

• 원래의 자료 

• 암호문 

이것은 이 것들중 어 느 세 가지 만 알면 4개 를 다 유도해 낼수 있음을 의 미한다. 례 외 
로 되 는것 은 원 래자료와 암호문의 결 합을 알 때 이 다. 만일 이 두가지 의 많은 실 례 들을 
가지고 있다면 알고리듬과 열쇠를 복구해 낼수도 있다. 

암호화방법 

암호문을 만드는데는 두가지 방법 이 있다. 

• 흐름암호 

• 블로크암호 

두 방법들은 매 과정에서의 암호화자료량을 내놓고는 류사하다. 현대적인 암호화체 
계 들은 블로크암호를 리용한다. 

호름암호 

흐름암호는 자료암호화의 가장 간단한 방법들중의 하나이다. 흐름암호가 사용될 때 
자료의 매 비 트는 열쇠 의 한 비 트를 리용하여 련속적 으로 암호화된다. 흐름암호의 고전 
적인 실례는 Vemam 암호이 다. 이것은 전신타자통신을 암호화하기 위 하여 리용되였다. 
Vernam 암호의 암호열쇠는 페지의 순환에 들어 있다. 전신전문이 기계에 들어 가면 자료 
의 한 비트가 열쇠의 한 비트와 결합하여 암호문을 만든다. 암호문의 수신자는 갈은 페 
지 의 순환을 리용하여 거 물과정 을 거 쳐 본래 의 전문을 되 살려 낸 다. 

고정된 길이의 열쇠를 리용하는 Vemam 암호는 여러개의 전문들로부터 얻어진 암호 
문들을 비 교하면 쉽게 정 확히 추적해 낼수 있다. 흐름암호를 해득하기 더 어 렵게 하려 면 
가변길이의 암호열쇠를 쓰면 된다. 이렇게 함으로써 암호문으로부터 식별해 낼수 있는 
모형 들을 막아 치 울수 있 다. 사실 자료 한 비 트에 리용되 는 암호열 쇠 를 우연적 으로 바꾸 
어 수학적으로 해득하기 불가능한 암호문을 엄을수 있다. 왜 냐하면 리용된 서로 다른 우 
연열쇠들이 암호열쇠를 깨려 하는 크래커에게 단서를 줄수 있는 어떠한 반복모형도 생성 
하지 않기 때 문이 다. 암호화열쇠 를 련속적 으로 변화시키 는 과정 을 일회 용보충 ( one-time 
pad ) 이 라고 한다. 


블로크암호 

매 lbit 를 암호화하는 흐름암호와는 달리 블로크암호는 일정한 크기의 덩어리단위로 
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자료를 암호화한다. 블로크암호에서 기본은 매번 얼마만한 자료가 암호화되며 어떤 크기 
의 열쇠가 매 블로크에 작용되는가 하는것을 확인하는것이다. 실례로 자료암호화표준 
( DES ) 은 암호화된 DES 자료가 56 bit 의 열쇠 를 리용하여 64 bit 블로크단위 로 처 리 된다는것 
으로 정해 졌다. 

블로크암호화를 실 현하는데 리용하는 여 러 가지 서 로 다른 알고리 듬들이 있 다. 가장 
초보적인것은 간단히 자료를 택하여 그것을 블로크로 나누어 매개에 대하여 열쇠를 작용 
시키 는것 이 다. 이 방법 은 효과성 은 높지 만 반복되 는 암호문을 만들수 있 다. 만일 자료의 
두 블로크가 정확히 갈은 정보를 가지 고 있다면 암호문의 두 블로크는 역시 동등할것 이 
다. 앞에 서 언급된것 처 럼 크래 커 는 비우연형 식 으로 반복된 암호문을 리용하여 암호열쇠 
를 공격할수 있 다. 

보다 좋기 는 알고리 듬의 보다 앞선 결 과를 리용하여 보다 후의 열 쇠 들을 그것 과 결 
합하는것이다. 그림 9-6 에 변경시킬수 있는 한가지 방법을 보여 주었다. 암호화하려는 
자료는 DB 1 〜 DB 4 로 이 름 붙여 진 블로크들에 갈라 진 다. 초기 화벡 토르( IV )가 자료의 
시 작에 첨부되 여 모든 블로크들이 완전히 암호화되였다는것을 보여 준다. IV 는 단순한 
우연기 호렬 로서 두개 의 동일한 통보문으로부터 갈은 암호문을 만들어 내 지 못한다는것 을 
담보한다. 암호문의 첫 블로크 ( CT 1) 을 얻 기 위하여 암호열 쇠 와 자료의 첫 블로크 
( DB 1), 초기화벡토르 ( rv ) 를 수학적 으로 결합한다. 



Key 十 IV■ 十 0&1 =C11 

Key+ CT1 ♦ DBS = CT2 


Key + CT 2 — Dfia = CT3 
Key + CT3 t D&4 = CT4 


그림 9-6. 블로크암호화 

암호문의 두번째 블로크 CT 2 을 만들 때 에는 암호열쇠암호문의 첫 블로크 CT 1, 두 
번째 자료블로크 DB 2 을 수학적으로 결합한다. 알고리듬에서 변수들이 변하므로 DB 1 과 
DB 2 은 같을수 있어도 결과적인 암호문 CT 1 과 CT 2 은 서로 다른 값을 가진다. 이것은 얻 
어 지는 암호문이 완전히 우연적인것으로 보이도록 충분히 혼잡될수 있게 한다. 얻어 지 
는 암호문을 리용하여 다른 자료블로크를 암호화하는 과정 은 모든 자료블로크들이 처 리 
될 때까지 계속된다. 
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암호열쇠와 초기화벡 토르， 앞서 얻어 진 암호문을 수학적으로 결합하는 방법에는 여 
러 가지가 있다. 이 모든 방법들은 다 갈은 목적을 추구하고 있는데 그것은 보기에 우연 
적 인 암호문의 문자렬을 엄어 내는것이다. 

공개 및 비공개암호열쇠 

지 금까지 모든 암호화기 술들은 비 공개 열 쇠 알고리 듬들을 리 용하였 다. 비 공개 열 쇠 알고 
리듬은 암호화와 복호화에 같은 열쇠를 리용한다. 이것은 암호열쇠가 암호문의 안정성을 
담보하기 위하여 비밀로 고수되여야 한다는것을 말해 준다. 만일 공격자가 그 비공개열 
쇠를 알아 낸다면 모든 암호화된 전문들을 풀어 낼수 있을것이다. 정보교환의 안전한 방 
법을 구축하기 위하여 비공개열쇠교환의 안전한 방법이 필요하게 된다. 

1976년에 디 피 ( W . Diffie ) 와 헬 만 ( M . Heilman ) 은 론문《 암호학에 서 새 로운 방향》에 
서 공개열쇠암호의 개념을 제기하였다. 이 론문은 암호산업에서 혁명으로 되였을뿐아니 
라 공개 열쇠 의 생 성 과정 은 지 금도 Diffie - Hellman 으로 알려 져 있다. 비 전문가에 있어 서 
공개열쇠 는 비 공개열쇠 로부터 수학적 으로 유도된 암호열쇠 이 다. 공개열쇠 로 암호화된 정 
보는 비 공개열쇠 로만 복호화할수 있으며 비 공개열쇠 로 암호화된 정 보는 공개열쇠 로 복호 
화할수 없다. 다른 말로 말하여 열쇠들은 대칭이 아니다. 그것들은 특수하게 구성되여 
공개열쇠 는 자료암호화에，비 공개열쇠 는 암호문복호화에 리용되 게 되 여 있 다. 

이것은 열쇠정 보를 교환하기 위한 안전한 통로가 요구되지 않게 한다. 공개열쇠는 
암호화된 전문의 안전성을 여전히 유지하면서 불안전한 통로에서 교환할수 있다. 만일 
한 사람이 친구에게 비밀전문을 보내려 한다면 그는 친구의 공개열쇠로 그것을 암호화해 
야 한다. 

Diffie - Hellman 은 인증을 제 공하는데 리 용할수도 있 다. 이것 은 수신자의 공개 열쇠 로 
전문을 암호화하기전에 자기의 비 공개열쇠 로 그것 에 서명하여 실현할수 있다. 서 명은 자 
기 의 비 공개 열쇠 와 전문내 용을 처 리 하는 간단한 수학적 알고리 듬이 다. 이 것 은 유일 한 전 
자서명을 만들어 내는데 그것은 전문의 뒤에 불는다. 전문내용이 서명을 만드는데 리용 
되므로 전자서명은 보내는 매 전문에서 다를것 이다. 

실례로 어떤 사람이 친구에게 비밀전문을 보낸다고 하자. 먼저 그는 자기의 비공개 
열쇠 를 가지 고 전자서 명 을 하고 친구의 공개열쇠 로 전문을 암호화한다. 친구가 전문을 
받으면 먼저 자기 비 공개열쇠 로 암호문을 풀고 그의 공개열쇠 로 전자서 명 을 검 사한다. 
서명이 맞으면 그는 전문이 인증된것이라는것과 그것이 전송과정에 바뀌지 않았다는것을 
알게 된다. 만일 서명 이 맞지 않으면 그는 전문이 그의 비 공개열쇠 로 서명된것 이 아니거 
나 암호문이 전송과정에 바뀌였다는것을 알게 된다. 어느 경우에나 수신자는 전문의 내 
용을 의 심하게 된 다. 

암호화부족점 

암호화의 부족점 에 는 세 가지 가 있 다. 


• 잘못된 처 리 또는 사람의 오유 
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• 암호 그자체의 결함 

• 힘내기공격 

어느 암호화방법이 자기 요구에 제일 알맞는가를 결정할 때 자기 경우의 약점을 반 
드시 알아야 한다. 

잘못된 처리 또는 사람의 오유 

암호화방법을 고찰할 때 사람의 실수문제를 론의하는것은 약간 이상할수 있지만 이 
문제는 자료의 안전성을 담보하는데서 결정적 인 작용을 한다. 어떤 암호화방법들은 다른 
방법들에 비하여 열쇠관리가 잘되지 않을수 있다. 암호화방법을 택할 때에는 적당한 방 
법으로 암호열쇠를 관리하는데 요구되는 정확한 하부구조를 가져야 한다. 

비공개 열쇠 암호를 사용하려 고 한다면 호스트들사이 에서 열쇠정 보를 교환하기 위 한 
안전한 방법을 가지고 있어야 한다. 비공개열쇠를 단순히 갈은 불안전한 통로로 전송하 
려고 한다면 자료암호화가 그리 좋은것 이 못된다. 간단한 열쇠관리는 공개 및 비공개 암호 
열쇠들이 아주 대중적 인것으로 된 원인들중의 하나이다. 자료를 전송하는데 쓰러고 하는 
불안전한 통로상에서 열쇠정보를 교환하는 능력은 큰 흥미를 끈다. 이것은 열쇠관리를 매 
우 간소화하는데 송신자는 비공개열쇠를 안전하게 가지고 있고 선택한 어떤 한가지 방법 
으로 공개열쇠를 전송한다. 


열쇠관리를 잘하는것이 중요하다 

1940년대에 이전 쏘련은 가장 중요한 자료를 암호화하는데 일회용보충< me-time 
pad ) 을 리용하였다. 흐름암호에 대 한 절에서도 보았지만 일회 용보충을 리용 t 암호화 
를 겐다는것은 수학적으로 불가능하다. 이것은 물론 사용자가 《 one - time 》 보 정의를 
리해한다고 본다. 하지 만 이 전 쏘련은 그렇 게 하지 않았다. 

암호열쇠들이 짧았으므로 이전 쏘련은 일부 일회용보충열쇠들을 서로 다^ 위치들 
에서 회전시켜 다시 리용하기 시작했다. 전제로 한것은 같은 사용자가 같은 열 쇠를 한 
번이상 리용하지 않는 한 얻 어 진 암호문이 충분히 안전하다는것이 였다. 명 백 1 이 가 
정은 기본을 놓쳤다. 미 국은 그중 열쇠모형 들을 찾아 내 여 암호문으로부터 경 확한 전 
문을 얻어 낼수 있었다. 

5년이상이나 미국은 자국내에서의 이전 쏘련의 정탐활동을 추적할수 있었다. 


1__5 

자료암호화에 리용하는 공개열쇠 가 정 당한 원천으로부터 받은것 이 며 공격 자가 자기 
의 비공개열쇠로 바꾸어 놓은것이 아니라는것을 확인하여야 한다. 공격열쇠의 정당 
성은 전화나 어떤 다른 방법으로 쉽게 인증할수 있다. 
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암호의 결함 

정해 진 형태의 암호화알고리듬에 어떤 결함이 있겠는가를 결정하는것은 비암호전문 
가에게는 가장 풀기 어려운 문제로 될것 이다. 하지만 암호화가 안전한가를 담보하는데서 
고려하여 야 할 몇가지 문제가 있다. 

• 암호화알고리듬을 서술하는 수학식은 공개지식으로 되여야 한다. 비밀성에 의 
존하는 알고리듬은 쉽게 탈취당할수 있는 결함을 가진다. 

• 암호화알고리듬은 철저한 공개검사를 받아야 한다. 누구나 알고리듬을 평가할 
수 있어야 하며 그 결과를 자유롭게 론의하여야 한다. 이것은 알고리듬의 분 
석 이 제한되지 말아야 한다는것을 의미한다. 

• 암호화알고리듬은 일정한 시간동안 공개적으로 리용되여 적당한 분석이 진행 
되도록 담보하여야 한다. 몇달정도만 리용하여 보아서는 시간적검사를 받았 
다고 볼수 없 다. 많은 사람들이 DES 암호화를 믿는 리유의 하나는 그것 이 거 
의 15년동안 가동하고 있었기때문이였다. 

• 암호화알고리 듬에 서는 공개 적 인 분석 에 의하여 약점 들이 발견되 지 말아야 한 
다. 거의 모든 암호화알고리듬은 약간의 결함들을 가지고 있다. 이러한 결함 
들로 하여 그 열쇠 를 해 득하는데 필요한 시 간이 가능한 모든 열쇠조합을 만 
들어 보는데 걸리는 시간보다 크게 감소될수 있으며 암호문이 쉽게 해득될수 
있 다. 

이 러한 간단한 지도방책에 따라 암호화알고리듬의 상대적안전성을 평가할수 있다. 

힘내기공격 

힘 내 기 공격 은 가능한 모든 열쇠조합들을 시 도하여 암호문을 푸는 열쇠 를 하나 찾아 
내 는 단순한 방법 이 다. 그러 므로 이 공격 을 전체열쇠조사라고 한다. 크래커 는 열쇠 를 해 
득하려 고 하는것 이 아니 라 적 당한 시 간내 에 가능한 모든 열쇠조합을 시 도하려 고 한다. 
모든 암호화알고리듬들은 힘내기공격에 대하여 취약하다. 앞단락에 한쌍의 중요한 용어 
가 있다. 

첫 째 는《 reasonable 》이 다. 공격 자는 힘 내 기 공격 을 들이 대 는것 이 시 간적 으로 의 미 가 
있 어 야 한다고 여 긴다. 만일 전체열쇠조사가 VISA 백 금카드번호를 몇 시 간안에 풀어 낸 다 
면 공격은 가치가 있는것이다. 

다른 한가지 는《 vulnerable 》이 다. 모든 암호화알고리 듬들은 힘 내 기 공격 을 받을수 
있으나 몇 가지 는 모든 가능한 열쇠결합들을 시 도하는데 지 내 오랜 시 간이 걸린 다. 실례 
로 일 회 용보충을 리용한 암호화는 힘 내 기 공격 을 리용하여 해 득할수 있지 만 공격 자는 그 
가 죽은 다음에도 몇대의 자손들을 거쳐서야이 계획을 수행할수 있다. 적당한 일회용보 
충의 암호화방안을 해득하는데는 현존하는 계산능력을 동원하여 지구가 없어 진다고 볼 
때까지의 천문학적인 시간이 걸린다. 그래서 힘내기공격실현에 요구되는 시간량은 두가 
지 요인에 의존하는바 그것은 특정의 열쇠를 시도하는데 얼마의 시간이 걸리는가와 얼마 
의 가능한 열쇠결합이 존재 하는가 하는것 이 다. 
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매 열쇠검사에 걸리는 시간은 처리에 리용되는 장치에 달려 있다. 보통의 탁상콤퓨 
터 는 Is 에 5개 의 열쇠 를 검 사할수 있다. 암호화열쇠 를 깨 기 위하여 특별히 만들어 진 장 
치 는 Is 에 200개 이상의 열쇠 를 검 사할수 있다. 물론 여 러개의 체계 들을 결합하면 그보다 
더 좋은 결과를 얻을수 있다. 

가능한 열 쇠 조합의 수는 열 쇠 크기 에 직 접 비 례한다. 크기 는 암호학에 서 중요한 문제 
로 된다. 암호열쇠 가 콜수록 보다 많은 열쇠 조합들이 존재한다. 표 9-1 은 몇 가지 암호화 
방법들을 그것들의 열쇠크기 에 따라 보여 준다. 열쇠크기가 증가할수록 가능한 열쇠조합 
의 수가 지수함수적 으로 증가함을 알수 있다. 


표 9-1 암호화방법들과 그것의 열쇠들 


암호화방법 

열쇠비트수 

가능한 열쇠개수 

Netscape 

40 

l. ixio 6 

DES 

56 

72.1X10 6 

Trple DES(2 열쇠) 

112 

5.2X10 33 

IDEA 

128 

3.4X10 38 

RC4(128bit 열쇠) 

128 

3.4X10 38 

Triple DES(3 열쇠) 

168 

3.7X10 50 

Blowfish 

448 까지 


AES 

128,192,256 

3.4X10 38 


이것은 특정의 암호화알고리듬에 대하여 전체열쇠조사를 진행하는데 얼마만한 시간 
이 걸 리 는가 하는 물음을 제 기한다. 대 답은 놀라운것 이 다. DES 암호화(이 장의 DES 절 에 
서 론의되 는)는 공업 규격 으로 되 였 다. 몇년전에 RSA 연구소에 서 는 DES 암호문렬 을 깨 고 
그안에 숨겨 진 통보문을 알아 내 는데 얼마나 시 간이 걸 리 는가를 알기 위한 도전을 조직 
하였다. 

1997년에 는 그 도전이 약 5달만에 완성되 였다. 

1998년 1월에는 39일만에 완성되 였다. 

1999년 1월에는 EFF 가 이것을 22시간내에 끝낼수 있었다. 

EFF 는 DES 암호화를 힘 내 기공격 하기 위하여 특별히 설계된 장치를 통하여 이것을 
진행 하였 다. 장치 의 가격 은 대 략 25만딸라였 다. 이 도전후에 EFF 는 《Cracking DES 》 라 
는 책을 출판하였는데 여기에는 자기들이 리용한 장치의 설계에 대한 자료들이 완전히 
서술되여 있다. 명백히 이것은 얼마만한 열쇠길이가 안전한것으로 간주되는가에 관한 완 
전히 새로운 견해를 주었다. 

정부의 간섭 

미 련 방정 부는 국경밖으로의 암호화의 수출과 리용을 규제 하고 있 다. 이 규제 에는 2 
차세 계 대 전시 기 에 생겨 났는데 그때 는 암호기 의 사용을 간첩 이 나 테 로분자들에 게 만 한한 
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것으로 생각하였다. 

이 규정 은 국가안전보장국 ( NSA ) 에 의하여 오늘날까지 도 여 전히 존재 하고 있다. 
NSA 는 정부가 관심하는 비밀 이 있다고 여겨 지는 모든 통신을 감시 하고 풀어 야 할 책 임 
을 지니고 있다. 

원래의 규정에서는 국경밖으로 수출하거나 사용할수 있는 암호열쇠크기를 제한하였 
다. 2000년이전에는 최대 40 bit 크기까지였고 례외로 보다 큰 열쇠크기를 사용하려는 기 
관은 통상부에 제출하여 허 가를 받아야 하였다. 

이 모든것은 2000년 1월에 변하였는데 이때 국가에서는 상업적 인 암호화제 품을 외 국 
에 수출할수 있도록 규정 을 바꾸었 으며 정 부가 암호제 품을 먼저 검 열한후에 수출하도록 
하였다. 다른 나라들도 이와 류사한 규정들을 적용하고 있으며 이 세 계적 인 추세는 지난 
몇년동안에 전자상업 의 폭발적 인 증대 와 관련된다. 

줄은 암호화가 필요하다 

인증이 제대로 되고 있다면 왜 암호화가 요구되는가? 암호화는 두가지 목적에 쓰 
인다. 


• 자료도청 을 막기 위하여 

• 자료변경 을 막기 위하여 

이미 이 장의 평문전송에 대한 절에서 어떻게 대부분의 IP 봉사들이 모든 정보들을 
평문으로 전송하는가에 대 하여 보았다. 이 것은 왜 자료를 보호하는데 암호화가 필요한가 
하는데 충분한 대 답으로 될것 이 다. 

암호화는 또한 자료가 전송도중에 변경되지 않도록 담보할수 있다. 이러한 문제는 
중개 자공격 에 의하여 생기며 자료전송을 파피 하려는 공격 자의 능력 에 관계된다. 직결 
목록주문들을 받아 들일수 있도록 구성된 Web 봉사기를 가지고 있다고 가정하자. 사용 
자들은 직 결양식 들에 써넣 으며 그러 면 직 결양식 은 Web 봉사기 에 평문형식 으로 기 억된 
다. 규칙적인 간격으로 이러한 파일들은 FTP 나 SMTP 를 거처서 다른 체계로 전송된다. 

만일 공격자가 Web 봉사기의 파일체계에 접속할수 있다면 공격자는 이러한 본문파일 
들을 사전에 변경시 킬수 있다. 이 때 공격 자는 수량이 나 제 품의 번호들을 변경시 킬수 있 
다. 틀린 주문을 받는 의뢰기는 매우 불행하게 된다. 이 실례 에서는 공격 자가 파일체 계 
에 접근하고 있다고 가정 하고 있지만 망을 통한 중개 자공격도 가능하다. 

또한 공격 자가 자료를 변경시켜 다른 사람의 사업 을 혼란시 킬수도 있 다. 이 정 보를 
좋은 암호화알고리듬을 리용하여 암호화하면 이러한 공격은 훨씬 힘들어 진다. 왜냐하면 
공격 자가 암호화된 파일속에 어 떤 값이 들어 있는지 알수 없기때 문이 다. 공격 자의 능력 
이 좋다고 해도 암호를 복호화하는 알고리듬은 자료의 변화를 검출할것 이 다. 
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해결방법 

인증과 암호화봉사를 제공하여 주는 많은 방법들이 있다. 어떤것은 특정의 제작자에 
의하여 제작된 제품들이며 어떤것은 열 린 표준들이 다. 어느것 이 좋은가 하는것은 요구에 
따라 다르다. 아래에서 가장 널리 쓰이는 인증 및 암호화방법들을 소개한다. 

자료암호화규격 ( DES ) 

DES 는 미 행 정부가 리용하는 자료암호화규격 이 다. 국가표준국 ( ANSI ) 과 인터네 트기 
술과제 집 단 ( IETF ) 도 DES 를 보안표준으로 받아 들였 다. DES 는 오늘까지 리 용되 는 가장 
일 반적 인 비 공개 열쇠 알고리 듬이 다. 

DES 의 원래의 규격은 40 bit (수출용) 혹은 56 bit 의 암호화열쇠를 리용한다. 가장 최근 
의 규격 인 3중 DES 는 2개 혹은 3개 의 서 로 다른 56 bit 열 쇠 를 리용하여 평문을 세번 암호 
화한다. 이것은 112 bit 혹은 168 bit 열쇠를 가진 암호문을 만들어 내며 뒤방향호환성을 유 
지 한다. DES 는 제 3자가 일 부 평문과 그것 에 따르는 암호문을 안다고 하여 도 모든 열 쇠 
를 조사하지 않고서는 그 열쇠를 엄을수 없게 설계되였다. DES 의 원래의 규격은 3일동 
안의 힘 내 기 공격 에 의하여 깨 여 졌지만 새 로운 3중 DES 규격 은 앞으로 몇년동안은 안전한 
것으로 남아 있을것이다. 

개량암호화규격 ( AES ) 

개 량암호화규격 ( AES ) 은 DES 를 계승하여 나왔다. AES 는 DES 의 결함(암호화약점， 
열쇠길 이의 제 한, 장치 에 의존하는 응용)을 극복하기 위하여 설계되 였으며 앞으로의 기 
술발전을 위한 틀거 리를 제 공한다. AES 가 20()1 년 여 름까지 완전한 표준으로 설정 되지 는 
않았지 만 NIST (국가표준기 술국) 는 2000년 10월 2일 에 Rijndael 알고리 듬을 DES 를 교체 할 
핵심으로 공포하였다. Rijndael 은 가변길이블로크암호이지만 AES 에서 실현될 때에는 처 
음에 열쇠길 이 128, 192，25的 it 를 취 한다. 

NIST 는 Rijndael 이 Pentium 급의 기계들뿐아니 라 스마트카드들에서도 잘 동작하기때문 
에 이것을 선택하였다. 또한 가변길이열쇠를 쓸수 있는 능력과 다른 암호화특성들로 하 
여 NIST 는 Rijndael 이 AES 의 최종평 가를 위 하여 제 기된 5개의 표준들중 가장 좋다고 결 
정하였다. 

수자식증명서봉사기 

공개 열 쇠 암호와 비 공개 열쇠 암호에 대 한 절 에 서 도 본바와 같이 비 공개 열 쇠 는 독특 
한 전자서명을 만드는데 리용될수 있다. 이 서명은 후에 그것이 인증되였다는것을 담 
보하기 위하여 공개열쇠로 검증될수 있다. 이러한 과정은 사용자의 신분을 인증하는 
매 우 강력한 방법 을 제 공한다. 수자식증명 서봉사기 는 많은 공개열 쇠 들의 관리 를 위한 
중심 점 을 제 공한다. 이것은 매 사용자들이 다른 사람의 공개열쇠를 복사하여 관리하 
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지 못하게 하여 준다. Lotus Notes 봉사기 는 수자식증명 서봉사기 로 동작하는데 사용자 
들이 자기 의 비 공개열쇠 들을 리용하여 통보문에 서 명하게 한다. Notes 봉사기 는 또한 
수신자에 게 Notes 봉사기 가 전자서 명 을 확인할수 있는가에 대 하여 통지한다. 수자식증 
명 서 봉사기 들은 증명 서 권한기 관 ( CA ) 이 라고도 하는데 전자서 명 의 확인을 제 공한다. 
실례 로 만일 Toby 가 Lynn 으로부터 전자서 명 이 있는 통보문을 받았지만 Lynn 의 공개 
암호화열쇠 를 가지 고 있지 못하다면 Toby 는 CA 로부터 Lynn 의 공개열쇠 를 받아서 그 
통보문이 인증될 수 있 다는것 을 확인 할수 있다. 또한 Toby 가 Lynn 의 전 자우편 에 응답 
하려 고 하지 만 제3자의 도청 을 막기 위하여 통보문을 암호화하려 고 한다고 하자. 
Toby 는 CA 로부터 Lynn 의 공개열쇠 를 받아서 그 통보문을 Lyim 의 공개열쇠 를 리용하 
여 암호화할수 있다. 

증명서봉사기는 하나의 서명과 접근조종을 제공하는데 리용될수도 있다. 증명서 
는 접 근을 제 한하기 위하여 봉사기 에 들어 있는 파일 들에 대 한 접 근조항목록에 첨 부 
될 수 있다. 사용자가 파일 에 접 근하려 고 한다면 봉사기 는 사용자의 증명 서 에 접 근이 
허가되였는가를 확인한다. 이것은 CA 가 기관이나 회사의 거의 모든 문서의 보안을 
관리하게 한다. 


죽__°1 

Netscape 증명 서 봉사기 는 파일 준위 접 근조종을 지 원하는 CA 의 좋은 실 례 이 다. 

CA 를 리용하는것의 가장 큰 리득은 그것이 수자식증명서에 대한 공업규격형식인 X . 
509를 지원하는데 있다. 이것은 기관들사이에서 증명서가 확인되고 정보를 암호화하게 
하여 준다. 만일 두 령역 사이에 정 보를 교환하는 기 본방법 이 전자우편이 라면 CA 는 가상 
사설망을 리용하는것 보다 훨씬 더 효과적 일수 있 다. 

IP 보안 

IP 보안 ( IPSec ) 은 Cisco 체 계 들에서 많이 리 용되 고 있는 공개 및 비 공개열쇠암호화알고 
리 듬이 다. 이것은 열린 표준들의 집 합으로서 그리 새 로운 형 식은 아니 다. IPSec 는 인증 
을 실 현 하고 대 화열쇠 를 설 정 하기 위하여 Diffie - Hellman 교환을 리용한다. IPSec 는 또한 
자료흐름을 암호화하기 위 하여 40 bit DES 알고리 듬을 리용한다. IPSec 는 대 화층에 서 실 현 
되였으며 따라서 직접적인 응용프로그람지원을 요구하지 않는다. IPSec 의 리용은 말단사 
용자들에 게 알기 쉽다. 

IPSec 의 우점 의 하나는 쓰기 편 리한것 이 다. Cisco 가 IPSec 를 자기 의 경 로기 제품들 
에 넣 은것으로 하여 IPSec 는 명백한 가상사설망 ( VPN ) 해결책 으로 된다. IPSec 는 인터 
네 트로부터 의 원격망접 속에 널 리 쓰이 고 있 으므로 40 bit DES 알고리 듬을 리용하는것 은 
일 반적 인 기 업리 용에 가장 적 합하다. 매 우 중요한 자료들을 안전하지 못한 통로로 보 
내 야 하는 필 요가 있 는 기 관들은 여 러 가지 암호화기 술들을 선 택하는데서 심 중하여 야 
한다. 
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Kerberos 

Kerberos 는 또 한가지 인증방법으로서 서로 다른 환경에서 하나의 서명을 제공하기 
위하여 설계되 였 다. Kerberos 는 사용자와 봉사들사이 의 호상인증과 암호통신을 실현하여 
준다. 그러나 보안통표와 달리 매 사용자가 특정의 통과암호를 기억하고 유지 하도록 하 
여 준다. 사용자가 국부조작체계에 인증할 때 국부대행체는 Kerberos 봉사기에 인증요구 
를 보낸다. 봉사기는 체계에 인증하려고 하는 그 사용자에 대한 암호화된 신용증명서를 
보낸다. 국부대 행체는 그 다음 사용자가 제 공하는 통과암호를 리용하여 신용증명서 를 해 
득한다. 

만일 정확한 통과암호를 받았다면 사용자는 확인되며 인증표가 제공되여 그는 다른 
Kerberos 인증봉사에 접근할수 있게 된다. 사용자는 또한 모든 자료들을 암호화하는데 리 
용될수 있는 암호열쇠모임 을 얻는다. 

일단 사용자가 확인되면 그는 임의의 Kerberos 관련봉사기들이나 응용프로그람들에 
대한 인증을 하지 않아도 된다. Kerberos 봉사기가 내는 표는 추가적인 망원천들에 접속 
하는데 필요한 신용증명서들을 제공한다. 이것은 사용자가 여전히 자기의 통과암호를 기 
억하여 야 하지 만 망의 모든 체 계 들에 접 근하는데 하나의 통과암호만이 필 요하다는것 을 
의 미한다. Kerberos 의 가장 큰 우점 의 하나는 자유롭게 쓸수 있는것 이 다. 원천코드는 무 
료로 내 리적재되 고 리용될수 있다. 또한 많은 상업 적 인 응용프로그람들도 있는데 그중 
한가지 형태인 IBM 의 Global Sign_on(GSO) 제품은 Kerberos 와 호환가능하며 개선된 관리 
를 제 공한다. 몇 해 동안 Kerberos 에 서 많은 보안상의 결 함들이 발견되 였지 만 대 부분은 
Kerberos 우에 의 하여 수정 되 였 다. 

점대점갱도규약 ( PPTP ) 과 계층2갱도규약 ( L 2 TP ) 

암호화기 술에 대 한 론의 는 PPTD 와 L2TP 를 말하지 않고는 성 립할수 없 다. Microsoft 
에 의하여 개 발된 PPTP 는 점대점규약 (PPP) 에 기 초한 인증과 Microsoft 알고리 듬에 기초한 
암호화를 리 용한다. Microsoft 는 PPTP 를 NT 봉사기 와 Windows 95/98 에 포함시 켰 다. 

암호분야의 많은 사람들은 PPTP 를 유치원암호라고 한다. 그것은 이 방법에서의 인 
증구조와 암호화알고리 듬을 깨 는것 이 비 교적 쉽 기 때 문이 다. 인 터네 트에는 PPTP 대 화안의 
통과암호정보를 얻을수 있는 많은 도구들이 있다. 이것은 PPTP 가 나온지 4 년밖에 되지 
않았음을 고려하면 기대 에 어긋난다고 볼수 있다. PPTP 를 깰수 있는 많은 도구들이 있 
으므로 그것 은 자료를 보호하기 위한 규약으로서 는 그리 쓰이 지 않는다. 


추__°1 

PPTP 의 불안전성 에 대 한 추가적 인 정 보를 엄 으려 면 http : //underground, org/ 를 참 
고하기 바란다. 



계 층 2 갱 도규약 ( L 2 TP ) 은 PPTP 와 Cisco 의 L 2 F(Layer Two Firewall ) 의 가장 좋은 부분 
들을 뽑아서 설계되 였 다. L 2 TP 는 보통 IPSec 와 함께 리용되 는데 L 2 TP 는 두점사이 의 통 
로를 만들며 암호화과제는 IPSec 가 담당한다. 결과적으로 L 2 TP 는 PPTP 에 비 하여 다음과 
갈은 우점들을 가지고 있다. 

• L 2 TP 는 프레 임 중계 ， X . 25， ATM 을 포함한 임 의 의 파케 트점 대 점 망우에 서 동 

작할수 있다 

• L 2 TP 는 하나의 끝점쌍들사이 에 여 러개의 련결을 만들수 있다 

• L 2 TP 는 자기 의 머 리 부정보를 압축할수 있 다 

• L 2 TP 는 자기 자체 의 련결인증을 제 공할수 있 다 ( L 2 TP 와 IPSec 를 함께 리용할 

때에는 필요하지 않다.) 

원격 접근전화가 입사용자봉사 ( RADIUS ) 

RADIUS 는 여 러개의 원격접 근장치들이 같은 인증자료기지 를 공유하게 한다. 이것 은 
모든 원격 망접 근을 위 한 관리 중심 을 제 공한다. 사용자가 RADIUS 의 뢰 기 (말단접 근봉사기 
와 같은)에 접 근하려 고 한다면 가입등록이름과 통과암호를 대 야 한다. RADIUS 의 뢰기는 
이때 RADIUS 봉사기에 이 신용증명서들을 전송한다. 만일 신용증명서들이 옳다면 봉사 
기는 긍정적 인 대답을 주고 사용자는 망에 접근할수 있게 된다. 신용증명서가 옳지 않으 
면 RADIUS 봉사기는 거절답변을 주며 RADIUS 의뢰기는 사용자의 련결을 차단시킨다. 

RADIUS 는 망에 로의 원격모뎀접 속에 널 리 리용되 여 있다. RADIUS 는 오래동안 
3 COM , Cisco , Ascend 와 같은 제 작자들에 의 하여 널 리 퍼 졌 다. RADIUS 는 또한 방화벽 
을 통하여 국부망에 접속하려고 시도하는 원격사용자들을 인증하는 방법으로 되고 있다. 
RADIUS 는 Check Point 의 방화벽-1과 Cisco 의 PIX 방화벽 에 내 장되 였 다. 방화벽 련결 에 
RADIUS 를 리용할 때 가장 큰 약점 은 암호화를 포함하지 않는다는것 이 다. 이 것은 
RADIUS 가 강한 인증을 보장할수 있지만 일단 대화가 설정된 다음에는 자료의 완전성을 
담보하지 않는다는것 을 의 미한다. 만일 방화벽 에 서 RADRJS 인증을 리용한다면 암호화를 
제 공하기 위한 보충적 인 방법 이 필 요하다. 

RSA 암호호 F 

RSA 암호화알고리 듬은 1977년 에 리베 스트， 샤미 르， 아델 만에 의하여 만들어 졌다. 
RSA 는 공개 및 비 공개열 쇠암호에 서 사실 상의 표준으로 간주되 고 있 다. 그것 은 Microsoft , 
Apple , Novell , Sun , 지 어 Lotus 등의 제 품에 도 쓰이 고 있 다. 공개 및 비 밀암호체 계 로서 
인증도 실현할수 있다. 

RSA 가 널 리 쓰인다는 사실은 호상리용성 과 관련하여 매 우 중요하다. 통보문을 만들 
때 리용하는 알고리 듬과 다른 알고리 듬을 쓴다면 그 통보문을 인증하거 나 복호화할수 없 
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다. RSA 를 지원하는 제품에서는 넓은 사용자범위에서 정보를 교환할수 있도록 담보한다. 
RSA 는 오래동안 철저한 검 토를 진행하였다. 자료를 보호하기 위하여 하나의 알고리듬을 
선택할 때 이것은 중요한 인자로 된다. RSA 암호는 RSA 연구소의 소유이나 지금은 
Security Dynamics 의 소유하에 있 다. RSA 알고리 듬의 특허 는 1983년 에 넘 겨 져 서 2000년 
에 시간만료되게 되여 있다. RSA 연구소는 여전히 특허에 대한 통제를 유지하고 있으나 
자기 가 만든 기 술을 널 리 리용하도록 하고 있 다. RSA 회 사는 원천코드를 공개 하였 으며 
비상업적인 목적에 자유롭게 쓸수 있게 되였다. 

하쉬알고리듬 

전자서 명 은 비 공개열쇠 를 리용하여 전체 통보에 서 명하는 방법 으로 동작한다. 이 것 
은 복잡하며 시간이 많이 든다. 한가지 방법은 하나의 자료요약을 만들고 그다음 그 통 
보문요약에 비 공개열쇠 로 서 명 (또는 암호화)하여 (이 것 을 때 로 하쉬 라고 한다. ) 전체 통 
보에 서 명하는것 과 같은 효과를 엄 는것 이 다. 

이것은 하쉬알고리 듬으로 수행 되 는데 원래 파일을 입구하여 통보문요약을 만들며 
거기에 비공개 열 쇠 로 서명 하여 전송한다. 수신자는 서명자의 공개열 쇠 를 암호화된 하쉬 
값에 적 용하여 수신자의 신분을 검 증한다. 수신자는 그다음 송신자와 갈은 하쉬알고리 듬 
을 리용하여 원 래 파일 을 처 리 하고 원래 하쉬값과 비 교한다. 만일 갈으면 수신자는 통보 
가 송신도중에 수정되지 않았다는것을 확인한다. 


SHA -1 (Secure Hash Algorithm ) 

SHA -1 (안전한 하쉬 알고리 듬) 은 NIST 에 의 해 제 안되 여 DSS 표준으로 등록되 였 으며 
DES 와 함께 전자서명에 리용된다. 

1994년 에 실 현(원 래 의 SHA 에 서 몇 가지 결 함을 수정하여 ) 되 였 으며 SHA -1 은 160 bit 
통보요약값을 준다. 2000년 10월 12일 NIST 는 새로운 AES 와 함께 쓰일 SHA 에 기초한 
3개 의 알고리 듬을 공개하였 다. 

SHA -256, SHA -384, SHA -512 는 3개 의 서 로 다른 AES 열쇠 크기 (128, 192, 256 bit ) 로 
동작한다. 

MD 5 

1991년 MIT 의 로버 트 리 베 스트에 의해 제 안되 였 으며 MD 계 렬 하쉬알고리 듬의 최 신 
판이다. 32 bit 처리소자에서 동작할수 있게 설계되였으며 MD 5 는 128 bit 요약값을 준다. 
MD 5 는 SHA -1 보다 빠르지만 더 안전하지는 못하다. 

안전한 쉘 ( SSH ) 

안전한 쉴은 의뢰기인증을 보장하고 두 체계사이에 다중봉사대화를 보호하는 강력한 
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방법 이 다. 핀 란드의 대 학생 Tatu Ylnen 에 의 해 제 안된 SSH 는 UNIX 세 계 에 서 널 리 쓰이 
고 있다. 이 규약은 Windows 와 OS/2 도 내장되 였다. 

SSH 로 동작하는 체계들은 련결요구를 포구 22 로 듣는다. 만일 SSH 체계로 동작하는 
2 개 의 체 계 가 련 결 된 다면 매 개 는 RSA 를 리 용한 수자식 증명 서 교환을 수행 하여 상대 방의 
신용증명서를 검사한다. 매 사람의 신용증명서가 검증되면 두 체계를 통하여 교환되는 
모든 정 보를 암호화하기 위하여 3 중 DES 를 리용한다. 두 호스트들은 통신대 화과정 에 대 
방을 인증하며 암호화열쇠를 주기적으로 바꾼다. 

이것은 힘내기공격이나 재생공격이 효과가 없게 한다. 

SSH 는 불안전한 규약을 안전하게 하는 좋은 방법 이 다. 

실례 로 telnet 와 FTP 대 화들은 모두 인증정 보들을 평문으로 교환한다. SSH 는 이 대 
화들을 교갑화하여 평문정보가 보이 지 않게 한다. 

안전한 소케트층 ( SSL ) 

Netscape 회사에서 만든 안전한 소케 트층 (Secure Sockets Layer:SSL) 은 OSI 모형의 대 
화층에 RSA 암호화를 제 공한다. 대 화층에 서 암호화를 진행하여 SSL 은 봉사에 독립인 능 
력을 가지게 된다. SSL 은 FTP, HTTP, telnet 와 같이 동작하지만 주로 안전한 Web 상업 
에 서 많이 리 용된다. RSA 암호화가 공개 및 비 공개열쇠암호화이기 때 문에 수자식 증명 서 도 
지원된다. 

이것은 SSL 이 봉사기를 인증하고 선택 적 으로 의뢰기도 인증할수 있게 해준다. 

Netscape 는 자기 의 Web 열 람기 와 Web 봉사기 제 품에 SSL 을 포함하고 있 다. Netscape 
는 지 어 원 천 코드를 제 공하여 SSL 이 다른 Web 봉사기플래 트홈들에 접 속할수 있 게 해 
준다. 

Web 페지 를 만드는 Web 전 문가는 모든 Web 열 람기들로부터 의 SSL 련 결요구에 따 
라 폐지를 표시할수 있다. 이것은 직결상업을 비교적 안전한 방법으로 할수 있게 한 
다. 

인터네트기술과제집단 (IETF) 은 전송층보안규약 (TLS) 이라고 하는 SSL3.0 에 기초한 
규격을 검토하고 있다. TLS 와 SSL 의 차이가 작은 동안은 TLS 가 SSL 과 함께 쓰이지 않 
을것 이 다. 

보안■표 (Security Tokens ) 

보안통표는 통표카드(또는 스마트카드)라고도 부르는데 국부의뢰기나 망봉사접근에 
리 용될수 있는 통과암호생성 장치 들이 다. 물리적 으로 통표는 통과암호와 통과암호의 남아 
있는 시 간을 표시하는 LCD 현시장치 를 가지 고 있는 작은 장치 이 다. 현재의 통과암호의 
기간이 끝나면 새로운 통과암호가 발생된다. 이것은 높은 수준의 인증보안을 제공한다. 
왜냐하면 약속된 통과암호가 매우 제한된 생명주기를 가지기때문이다. 그림 9-7 에 여러 
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가지 보안통표들을 보여 주었다. 이 통표들을 SecurlD 카드라고 한다. 

보안통표들은 현존 조작체계 나 응용프로그람과 직접 인증하지 않는다. 가입등록요구 
를 인증봉사기 에 넘 기기 위한 대 리 자가 요구된다. 례를 들어 방화벽-1은 SecurlD 를 통하 
여 들어 오는 의뢰기인증을 지원한다. 



그림 9-7. Security Dynamics Technologies 에서 
생산된 SecurlD 카드들 

인터네트밖의 사용자가 방화벽-1로 보호된 인터네트안의 봉사에 접근하려면 자기 
의 SecurlD 통표를 리 용하여 방화벽 에 인증한다. 방화벽 -1은 이 인증을 직 접 하지 않고 
방화벽 우의 대 리 자가 ACE / Server 라고 하는 SecurlD 인증봉사기 에 가입 등록요구를 내 보 
낸다. 

만일 신용증명서가 정확하면 암호화된 대화를 통하여 대리자에게 옳다는 신호가 오 
며 사용자는 내 부망에 접 근할수 있게 된다. 매 보안통표는 正)번호에 의하여 식 별된다. 
正)번호는 매 보안통표를 유일하게 식별한다. 正)번호는 또한 매 통과암호를 생성하는데 
리용되 는 알고리 듬을 수정하는데 쓰이 며 따라서 여 러개의 통표가 같은 통과암호렬을 만 
들수 없다. 

통과암호가 규칙 적 인 시 간간격 (보통 60 s ) 으로 만료되 므로 보안통표는 처 음에 인증봉 
사기와 동기를 맞추어 야 한다. 

이러한 형태의 인증은 많은 쓸모가 있다. 우선 사용자는 자기의 통과암호들을 기억 
할 필 요가 없 다. 그들은 보안통표로부터 현재 의 통과암호를 읽 고 이 값을 인증에 리용하 
면 된다. 사용자는 자기의 통과암호를 규칙적 인 시 간간격 으로 변경시키지 않아도 된다. 
왜 냐하면 이것 은 보안통표에 의하여 자동적 으로 실현되 기 때 문이 다. 또한 통표가 매 인증 
에 서 리용되 는 물리 적 인 장치이 므로 사용자는 보통 자기 의 통과암호를 다른 사람에 게 줄 
수 없다. 사용자가 자기의 통과암호를 다른 사용자에게 읽 어 준다고 해도 통과암호가 매 
우 짧은 기 간에 만 맞기 때 문에 그 통과암호를 리용할수 없 다. 

보안통표는 인증을 제공하는 우수한 방법이다. 유일한 약점은 임의의 형태의 대화암 
호화를 제공하지 못한다는것 이 다. 그것은 이 기능을 제공하는 조작체계 나 응용프로그람 
에 의존한다. 실례로 이것은 공격자가 telnet 대화로 가장하고 들어 온다면 인증정보를 평 
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문으로 읽을수 있다는것을 의미 한다. 그러므로 주어 진 통과암호의 제 한된 생명주기는 
이러한 정보를 리용하기 어렵게 한다. 

인테 dl 트규약들 우 I 한 단순열쇠관리 ( SKIP ) 

SKIP 는 대화층에서 동작한다는 점에서 SSL 과 비슷하다. SSL 과 마찬가지로 SKIP 
는 IP 봉사가 암호화를 지 원하는가에 관계 없이 그 봉사를 지원하는 능력을 가진다. 이 
것은 두 호스트사이 에서 동작하는 여 러개의 IP 봉사들을 가지 고 있는 경우에 매우 쓸모 
있 다. 

SKIP 와 SSL 과 다른점은 대화층사이에서 설정 및 열쇠의 교환을 위한 사전통신이 필 
요 없는것 이 다. Diffie - Hellman 의 공개 및 비밀알고리 듬은 공유된 비 공개열쇠를 생성하 
는데 쓰인다. 이 공유된 비공개열쇠는 IP 파케 트에 기 초한 암호화와 인증을 제 공하는데 
쓰인다. SKIP 는 자료의 암호화에 매우 효과적일뿐아니라 VPN 의 성능을 개선하는데 
이것은 매 대화의 완전성 을 유지 하기 위한 공유된 비공개열쇠를 장기적 으로 보호하는 
데 기 초하고 있다. 

SKIP 는 SSH 에 서 와 같이 새 로운 열 쇠값들을 련속적 으로 생 성하지 않는다. 그러 므로 
열쇠가 적당히 보호되지 않으면 SKIP 암호화는 취약하다. 

요 약 

이 장에 서 는 인증이 왜 중요하며 인증을 리용하지 않을 때 어 떤 종류의 공격 이 있을 
수 있는가에 대하여 보았다. 

또한 암호화에 대하여서와 공개 및 비밀알고리듬의 차이에 대 하여 보았다. 마지막으 
로 지금 쓰이고 있는 많은 인증 및 암호화방법들에 대하여서도 보았다. 

다음장에서는 가상사설망 ( VPN ) 을 만드는데 암호화가 어떻게 쓰이는가 하는것을 취 
급한다. 
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제 1 0장. 가상사설망 


인터네트의 도입은 많은 좋은 점과 함께 많은 론쟁거리를 가져 왔다. 가상사설망 
(VPN) 은 WAN 의 비 용을 감소시 키 며 경 계 선보안을 강화하기 위하여 진행 되 였 다. 흥미 있 
는것 은 VPN 기 술을 배비 하는데 앞장 서 는것 이 금융기 관들，무역 회 사 그리 고 공격 받을 위 
험이 큰 기업체들이라는것이다. 금융기관들과 기업체들은 자기들의 망범위를 확대하기 위 
하여 VPN 들을 받아 들이고 있 다. 


VPN 기초 

가상사설망대 화는 인 터 네 트망과 갈은 공공망에 서 의 인증되 고 암호화된 통신통로이 다. 
망이 불안전하다고 보아 지므로 전송되는 자료를 보호하기 위하여 암호화와 인증이 리용 
된다. VPN 은 봉사독립인데 이것은 두개의 호스트 (Web, FTP, SMTP 등)들사이에 교환 
되 는 모든 정 보들이 이 암호화된 통로를 통하여 전송된 다는것 을 의 미한다. 

그림 10-1 은 VPN 구성의 전형 적 인 실례 를 보여 준다. 그림 은 인터네 트에 련결된 두 
개의 서로 다른 망들을 보여 준다. 이 두 망들은 정보를 교환하려고 하지만 교환하려는 
정보가 비밀이므로 안전하게 교환하려고 한다. 이 정보를 보호하기 위하여 두 싸이트사 
이에 VPN 이 설치된다. 

VPN 을 설치하기전에 두개의 망은 다음과 같은것을 하여야 한다. 

• 매 싸이트는 망경계에 VPN 가능한 장치를 설치하여야 한다. 이것은 경로기나 
방화벽 또는 VPN 전용장치일수도 있다. 

• 매 싸이 트는 다른 싸이 트가 리용하는 IP 부분망주소를 알고 있 어 야 한다. 

• 두 싸이트들은 갈은 인증방법을 가지며 필요하다면 수자식증명서를 교환하여 
야 한다. 

• 두 싸이트들은 같은 암호화방법을 가지며 필요하다면 암호화열쇠를 교환하여 
야 한다. 

그림 10-1 에 서 VPN 통로의 매 끝에 있는 장치 들은 인 터네 트련결 에 쓰이 는 경 로기 들 
이다. 

만일 Cisco 경 로기 가 있다면 Diffie-Hellman 의 인증과 40bit DES 암호화를 제공하는 
IPSec 를 지원할수 있다. 

망 A 의 경로기는 192.168.2.0 부분망으로 가는 모든 나가는 자료흐름이 DES 를 리 
용하여 암호화되 도록 구성 되 여 야 한다. 이것 을 원격암호화령역 이 라고 한다. 망 A 의 
경로기는 또한 망 B 의 경로기에서 받은 임의의 자료가 복호화되여야 한다는것을 알아 
야 한다. 마찬가지 로 망 B 의 경로기는 부분망 192. 168.1.0 으로 향하는 모든 자료흐 
틈을 암호화하며 망 A 의 경 로기 로부터 받은 임의의 응답을 복호화할수 있게 구성되 여 
야 한다. 
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그림 10-1. 두 인터네트싸이트들사이의 VPN 의 실례 

인터네트의 모든 다른 호스트들에 전송된 자료는 명백 히 평문으로 전송된다. 암호화 
되는것은 이 두 부분망들사이의 통신뿐이 다. 


죽__°1 

VPN 는 두개의 암호화령역들사이의 통신대화들만을 보호한다. 여 러개의 VPN 들을 
설치할 때 에는 여 러개의 암호화령역을 정의하여 야 한다. 


어떤 VPN 구성에서 두 경로기들사이 에 위 치한 망분석기는 두 경로기의 대변부의 원 
천 및 목적지! p 주소를 리용하는 모든 파케트들을 현시할수 있다. 그러 나 자료를 전송한 
호스트의 IP 주소를 볼수 없을뿐아니 라 목적 지호스트의 IP 주소도 볼수 없 다. 이 정 보는 
원래 파케트안에 들어 있는 실제적인 자료와 함께 암호화된다. 원래의 파케트가 암호화 
되 면 경 로기 는 자기 의 IP 주소를 원천주소로 하고 원격경 로기 의 목적 IP 주소를 리용하는 
새로운 IP 파케트안에 이 암호문을 교갑화한다. 이것을 통로뚫기 ( tunneling ) 라고 한다. 이 
렇 게 하면 모든 파케 트들이 이 두 경 로기 들의 IP 주소를 리용하므로 공격 자는 VPN 을 통 
과하는 자료흐름이 공격할 가치 가 있는것 인지 추측할수 없게 된다. 모든 VPN 방법 들이 
이 기능을 유지하는것은 아니지만 이 기능은 쓸모 있는것이다. 

두 경 로기 사이에 가상적 인 통로가 있으므로 인터네 트의 사설주소공간을 리용하는것 
에 추가적인 리득을 엄게 된다. 례를 들면 망 A 의 호스트는 망주소변환이 없이도 
192.168.2.0 망우의 호스트에 자료를 전송할수 있 다. 그 리유는 경 로기 들이 이 자료가 통 
로을 따라 전송될 때 이 머 리부정보를 교갑화하기 때 문이 다. 망 B 의 경 로기 가 그 파케 트 
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를 받으면 교갑파케트를 풀고 원래의 파케트를 복호화하며 그 자료를 목적지호스트에 전 
송한다. 

VPN 은 또한 플래트홈과 봉사에 독립 이 라는 우점도 가지고 있다. 안전한 통신을 진 
행 하기 위 하여 서 는 워 크스테 이 션은 암호를 지 원하는 쏘프트웨어 를 리 용하지 않아도 된다. 
이것은 자료흐름이 두개의 경로기사이를 통과할 때 자동적으로 실행된다. 이것은 평문으 
로 전송되 는 SMTP 같은 봉사도 목적 지호스트가 원격암호화령 역안에 있 다면 안전한 방식 
으로 리용될 수 있 다는것 을 의 미한다. 

VPN 의 리용 

VPN 들이 널 리 리 용되 고 있지 만 그것 들은 두개 의 특정한 응용프로그람들에 서 만 리용 
되 고 있다. 그것들은 다음과 갈다. 

• 전화접속모뎀풀의 교체 

• 전용 WAN 련결의 교체 

VPN 은 이 기 술들을 완전히 또는 특정한 경 우에 만 대 신할수 있다. 

이 렇게 응용이 제 한되는것은 VPN 을 구성하는데 필요한 수동적 인 작업 량에 크게 관 
련된다. 기술이 발전되는데 따라 이 과정은 보다 가변적인것으로 될것이다. 실례로 두개 
의 IPSec 호환인 두 경 로기 는 SMTP 자료흐름을 전송하기전에 가변적 으로 련결설정 하고 열 
쇠들을 교환할수 있다. 전송과정이 끝나면 VPN 은 해체된다. 이 기술은 현재 널리 쓰이 
지는 못하지만 앞으로 가능하게 될것이다. 


모뎀 풀교체 

모뎀풀은 항상 망관리 자들을 괴 롭히 는것 으로 되 여 왔다. 안정한 해 결책 이 준비되 여 
있지 않은것으로 하여 이것들은 보통 많은 비용이 들므로 작거나 중간크기의 회사들에서 
는 큰 부담으로 된다. 

원격사용자들에게 있어서 VPN 방법은 유지비용을 쉽게 줄일수 있게 한다. 많은 전 
화선들을 유지 하지 않아도 된다. 또한 새 로운 모뎀표준이 나올 때 마다 자기 의 하드웨 
어 를 갱 신 하거 나 ISDN 과 갈은 새 기술을 지 원 하기 위하여 전 화선들을 갱 신 할 필 요는 
없다. 

모든 들어 오는 접근은 회사가 인터네트우의 기업을 위하여 이미 가지고 있는 련결 
인 인터네 트련결을 통하여 관리된다. 

접근비용은 보다 더 눅을수 있다. 실례로 많은 기관들은 종업원들이 료금을 내지 않 
고 망에 원격으로 접근할수 있도륵 하기 위하여 번호 800을 가지고 있다. 이것은 기관에 
큰 부담을 줄수 있 다. 왜 냐하면 800번을 리용하는 분당료금이 직 접 호출하는 비 용의 2배 
로 될수 있기때 문이 다. 대 부분의 ISP 의 료금용 매 달 20딸라이거 나 그이하이 다. 
CompuServe 와 갈은 큰 ISP 들은 지역전화번호들을 국제적으로 제공할수도 있다. 서투른 
원격접 근사용자들에 게 있어 서 는 800번의 료금을 지 불하는것 보다 하나의 ISP 구좌에 지 불 
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하는것이 훨씬 효과적 이다. 

이렇게 하면 하부구조비용을 줄이는 한편 말단사용자유지비용도 줄일수 있다. 가장 
일반적 인 원격접근방조문제는 말단사용자가 망설정을 구성 하고 망에 련결하도록 도와 주 
는것이다. 만일 사용자가 처음으로 한 ISP 에 전화가입을 하려고 한다면 이것은 접근을 
제공하는 그 ISP 에 의하여 제공될수 있다. 사용자가 인터네트밖의 자원에 접근할수 있지 
만 내부자원에 련결할 문제들을 가지고 있다면 기관의 방조가 동반되여야 한다. 이것은 
요구되는 지원의 범위를 크게 제한한다. 


일러두기 

방화벽 을 선택할 때 말단사용자에 게 원격 VPN 접 근을 제 공할것 인가를 고려하여 보아 
야 한다. 대부분의 방화벽 프로 그람묶음들은 특별한 의뢰기쏘 프트웨 어를 제 공하므로 
말단사용자는 그 방화벽에 하나의 VPN 을 만들수 있다. 


말단사용자들에 게 원격 VPN 접 근을 제 공할것 인가를 결정할 때 고려하여 야 할 몇 가지 
결 함들이 있 다. 첫째 로，원격 워 크스테 이 션의 완전성 이다. 인 터네 트상에 LOpht 의 Netcat 와 
Dead Cow 의 Cult 와 같은 침 입도구들이 무상으로 제공되 고 있으므로 원격 워 크스테 이 션이 
손상될수 있는 가능성 이 매우 크다. 대부분의 ISP 들은 전화가입사용자들을 위하여 어떤 
형태의 방화벽도 제공하지 않는다. 이것은 전화가입된 체계들이 공격을 쉽게 받을수 있 
다는것을 의미한다. 원격의뢰기에는 공격자가 침투하여 VPN 통로을 리용하여 내부자원을 
공격할수 있 다. 

또다른 결함은 보다 리론적 이 다. VPN 이 망에 접근하도록 하는것은 자기의 방화벽을 
통하여 또 하나의 구멍을 뚫을것을 요구한다. 

매 개의 열린 구멍은 공격 자에 게 더 많은 구멍 을 뚫을수 있는 길을 주는것 으로 
된 다. 

실례로 자기 망에 대한 안전한 암호화된 접근을 제공하는 PPTP 에 의존하는 NT 사용 
자들은 NT 봉사기 에서 동작하는 PPTP 봉사에 약점 이 발견되면 공격 당할수 있다. 

PPTP 봉사기 에 틀린 파케 트길 이값을 가진 하나의 PPTP 대 화시 작요청 을 보냄 으로써 
공격 자는 봉사기를 파괴할수 있다. 이것은 PPTP 봉사기와 그 체 계 에서 동작하는 임의의 
다른 봉사도 정지시 킨다. 

전용 WAN 련결의 교체 

그림 에서 본바와 같이 VPN 은 인터네트상에서 두개의 지 리 학적 으로 떨어 져 있 
는 망을 련결하는데 리용될수 있다. 이것은 두개의 싸이트가 멀리 떨어 져 있을 때 실례 
로 하나의 회사가 서로 다른 두 도시에 각각 하나의 사무소를 가지고 있을 때 매우 유익 
하다. 세계 를 가로 지 르는 전용선을 늘일 대 신에 매 개 싸이트는 지 역 ISP 에 련결하면 된 
다. 그러면 인터네트가 이 두 망들을 련결하는 중추망으로 리용될수 있다. 

VPN 련결은 두 싸이트가 서로 가까울 때에도 유익하다. 실례로 자기의 기업상대와 
정보를 교환하려고 하지만 전용련결을 가지기는 어렵다면 이미 구축된 인터네트련결을 
통과하는 VPN 통로가 그 해결책으로 될수 있다. 
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체계용량검열표 


만일 의 뢰 기 에 자기 망에 로의 VPN 접 근을 제 공하고 있 다면 체 계용량에 주의 를 돌 
려야 한다. 여기에 알아 두어야 할 몇가지 문제들이 있다. 

• 동시에 들어 오는 사용자가 얼마나 되는가? 

사용자들이 많을수록 용량이 커야 한다. 

• VPN 의 뢰기 들이 언제 망에 원격 으로 련결 할것 인가? 

대부분의 원격 VPN 접근이 보통의 사업시간에 발생한다면 보다 빠른 인터 
네트련결과 빠른 하드웨어가 요구된다. 

• 어 떤 봉사들에 의뢰기 들이 접 근하고 있는가? 

만일 원격 VPN 접속이 파일공유와 같은 대역너비집약적인 응용프로그람들 
에 대한것이라면 역시 보다 빠른 인터네트련결과 보다 빠른 하드웨어가 요 
구된 다. 

• 어떤 종류의 암호화를 쓰러고 하는가? 

만일 원격 VPN 접 속이 3중 DES 와 같이 긴 열쇠알고리 듬을 리용하면 보다 
빠른 암호화하드웨 어가 필요하다. 



그림 10-2 의 망을 고찰하자. 여기에는 방화벽으로 보호된 내부망이 있다. 또한 Web 
봉사기 와 SMTP 중계 기 를 가지 고 있는 DMZ 토막이 있다. 또한 많은 전용 T 1 선들에 대 한 
보안을 관리 하기 위하여 방화벽 에 하나의 보충적 인 망기 판을 가지 고 있 다. T 1 회 선들은 
기 관을 여 러 기 업 상대 들에 게 련결하며 중요한 정 보가 인 터네 트로 나가지 못하도록 하기 
위하여 리용된다. 이 중요한 정보들은 전자우편이나 FTP 에 의해 전송될수 있다. 

이 구성 은 표면상으로 아주 명 백한것 같지 만 많은 잠재 적 인 문제 점 들을 가지 고 있 다. 
첫째로，경로조종문제이다. 방화벽은 이 매개의 원격망들에 대한 경로정보로 프로그람화 
되여야 한다. 그렇지 않다면 방화벽은 자기의 기정의 경로설정에 따라 이 자료흐름을 인 
터네 트에 로 전송하게 된다. 이 경 로항목들이 동적 으로 설정 되 므로 하나의 원격망이 경 로 
정보나 부분망을 변화시키면 기관의 망은 어떻게 갱신될것인가? 

만일 RIP 를 리용하면 그것 은 제 3장에 서 보다싶 이 안전하지 못한 경 로조종규약이 다. 
열린최 단경 로우선규약 ( OSPF ) 은 보다 좋은 선택으로 되지만 그것은 련결의 다른 끝에 있는 
장치 에 의 존하므로 OSPF 를 선택하지 못할수도 있 다. 

IP 주소와 관련 하여 서 도 문제 가 있 다. 원격망들중 하나가 사설 주소공간을 가진 NAT 
를 사용한다면 어떻게 되겠는가? 

이 체 계들중 하나에서 DNS 보기를 실행 한다면 사설 IP 주소가 아니 라 공개 IP 주소를 받 
을것 이 다. 이것은 추가적 인 경 로조종문제를 제 기하며 이 체 계들을 위하여 DNS 항목들을 
따로 만들어 야 한다는것 을 의 미한다. 또한 만일 두개 또는 그이상의 원격 망들이 같은 사 
설주소공간을 리용하고 있다면 어떻게 되겠는가? 그러면 그 련결의 끝에 있는 경로기에 
서 NAT 를 실행시켜 자기호스트들이 2개의 망들을 구별할수 있게 하여 야 한다. 

여 기 에는 또한 책 임 문제도 있다. 만일 기 관의 원격기 업상대들중의 하나에 위 치 한 공 
격자가 다른쪽의 원격기업상대를 공격한다면 어떻게 되겠는가? 그 기관은 이 공격에 필 
요한 매체를 제공한것으로 된다. 

법적으로 자신을 변호할수는 있지만 이것은 자기의 사업신용을 떨어 뜨린다. 

자기 의 원격기 업 상대 들과의 련결 을 VPN 으로 교체 함으로써 우에 서 본 모든 문제 점 들 
을 해결할수 있다. 자기의 자료흐름의 완전성을 담보할수 있는 한 여러개의 VPN 을 관리 
하는것은 여 러개의 전용회선들을 관리하는것보다 훨씬 더 쉽다. 

원격의뢰기접근에서 와 마찬가지 로 VPN 자료흐름을 허 용하기 위 하여서 는 방화벽 을 통 
하여 하나의 구멍 을 열 어 놓아야 한다. 강한 보안은 공격 자가 이 구성 을 리용할 기회를 
크게 감소시키지 만 그것은 어쨌든 경 계선보안에서의 하나의 구멍 이 다. 

VPN 제품의 선택항목 

자기 가 리 용할 VPN 제 품을 선택할 때 여 러 가지 문제 들을 고려 하여 야 한다. 

• 강한 인증 

• 충분한 암호화 

• 규격에 맞는가 f 

• 다른 망봉사들과의 통합 
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만일 어 떤 전용의 싸이트를 련결 하기 위하여 하나의 VPN 을 설 치 한다면 선택안들은 
제 한될수 있다. 실례 로 Novell 의 방화벽제 품인 BorderManager 는 VPN 련결 을 지 원한다. 
문제 는 VPN 이 독점 적 이 라는것 이 다. 이 것 은 Border Manager 방화벽 을 가진 VPN 을 만들려 
면 VPN 통로의 다른 끝에 다른 BorderManager 방화벽 을 설 치 하여 야 한다는것 을 의 미 한다. 
만일 특정 의 원격 망과 통신하려 고 VPN 을 설 치 한다면 그 망이 어 떤 VPN 묶음을 리용하는 
가를 알아야 한다. 그 다음에 야 자기 가 어떤 제 품을 선택할것 인가를 결정할수 있다. 

강한 인증 

강한 인증이 없이는 VPN 통로의 다른 끝에 있는 체계 가 누구인지 정확히 결정할수 
없다. 제9장에서 고찰한 Diffie - Hellman 알고리듬은 그 통로의 끝점을 확인할 때 쓸수 있 
는 인증방법이다. 

여 기서는 공개열쇠 들의 교환을 통하여 비밀열쇠 들을 공개한다. 그렇 게 되 면 어떤 또 
하나의 수단을 통하여 비밀정보를 교환할 필요가 없다. 


일러두기一 

만일 인터네 트상에 서 공개열쇠 를 교환할 때 믿음성 있는 증명 서 권한을 리 용하지 않 
는다면 전화나 곽스와 같은 다른 방법들을 통하여 열쇠값들을 확인하여야 한다. 


충분한 암호화 

《충분하다》는것은《강하다》는것을 의미하지 않는다. 암호화방법 을 선택 하기전에 
어떤 준위의 보안이 요구되는가를 결정하여야 한다. 실례로 인터네트상에서 중요하지만 
꼭 비 밀은 아닌 자료를 주고받을 때 에는 40〜 56 bit DES 암호면 충분하다. 재 정자료나 그 
밖의 중요한 자료를 보낼 때에는 3중 DES 와 같은 강한 암호를 씨야 한다. 

옳은 암호화준위 를 선택하여 야 하는 리 유는 성 능과 관련된다. 리 용하는 암호화알고리 
듬이 강할수록 암호화와 복호화과정에 많은 시간이 요구된다. 실례로 56 K 회선을 통하여 
인 터네 트에 련결된 두망이 3중 DES 를 리용한다면 응용프로그람의 한계 시 간을 보장할수 있 
도록 충분히 빨리 자료를 통과시 킬수 없다. 

열쇠를 쓰기전에 어떤 크기의 열쇠가 필요한가를 생각하여 보아야 한다. 

리용하는 열쇠의 형 태도 성능에 영 향을 준다. DES 와 같은 비밀열쇠암호화는 빠르기때 
문에 VPN 들에서 많이 쓴다. 그러 나 RSA 와 같은 공개 및 비 밀 열쇠 암호는 같은 크기의 열 
쇠 를 쓰는 비밀열쇠암호알고리듬보다 10〜100분의 1정도로 느리 다. 따라서 공개 및 비밀 
열쇠암호화의 열쇠 관리는 더 많은 처 리시간을 요구한다. 많은 VPN 제 품들은 초기 에 열쇠 
를 교환하기 위하여 공개 및 비 밀 열쇠알고리 듬을 리용하며 그다음 통신에 는 모두 비밀 열 
쇠암호를 리 용한다. 


일러두기 

제9장에서 고찰한 힘내기공격시간을 추정하여 VPN 에서 리용할 암호화열쇠의 크기 
를 결정하는데 리 용할수 있 다. 
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규격에 맞는가 

제9장에서 왜 암호체 계 에 대 하여 공개 적 인 철저한 검 사를 진행해 야 하는가에 대 하여 
보았다. VPN 에 쓰이는 암호화방법을 선택할 때에도 마찬가지 이 다. 알고리듬을 충분히 
검 사하여 큰 약점 이 없는가를 조사하여 야 한다. 실례 로 DES 에 서 유일한 결 함은 열쇠 의 
크기 가 작은것 이 다. 이것은 리용되 는 열쇠 의 수를 증가시 킬수 있는 3중 DES 를 리용하여 
극복할수 있다. 

또한 VPN 제품이 다른 VPN 방법들과 호환되는가를 확인하여야 한다. 이 절의 앞에서 
언급한바와 같이 Novell 의 BorderManager 는 다른 BorderManager 체계들을 가진 VPN 련결들 
만을 실현할수 있다. 이것은 통로의 다른 끝에서 제품의 선택을 크게 제한한다. 만일 방 
화벽대 책 으로서 BorderManager 를 리용하고 그후에 원격기 업상대 에 로의 VTPN 을 실현하려 
고 한다면 이 요구를 실현하기 위하여 따로 대 책을 세워 야 한다. 


다른 망봉사들과의 통합 

최신의 VPN 실현은 방화벽사용자등록부 그리고 감시 Web 와 같은 다른 봉사들과 통합 
할 능력 을 가진 다. Check Point 의 VPN -1 은 전체 Check Point 관리묶음으로 완전히 통합되 
였으며 이 로 하여 보안통합뿐아니 라 주소변환，대 역분배 등도 실현할수 있게 해 춘다. 
VPN 련결의 인증을 중심에서 관리하는 능력은 매 련결이 얼마의 대역너비를 가지고 있는 
가를 조종하는것 과 마찬가지 로 강력한 특징 으로 된 다. 

물론 리상적인 VPN 실현은 서로 다른 제작자들의 제품들도 통합할수 있다. 지금까지 
는 새 로운 제 품들이 LDAP 나 3중 DES 와 갈은 공업 규격 들을 포함하고 있 었지만 통합에 성 
공하지는 못하였 다 . 

Microsoft 는 그러한 실례 의 하나이 다. 그들은 Windows 2000안에 VPN 실현을 포함하 
고 있다. 물론 그 우점은 암호화와 인증기술을 능동등록부와 통합한것 이다. 일부 제작자 
들 (Check Point 와 같은)은 자기의 VPN 제품들을 Microsoft VPN 과 혼합하여 하나의 중심 
적으로 정의된 VPN 방책이 Microsoft 와 특정제작자의 VPN 접근점에 동일하게 적용되도록 
하고 있다. 또한 능동등록부가 LDAP - 적응이므로 제3자의 VPN 들은 능동등록부에 보관 
된 사용자구좌정보의 VPN 허가에 기초할수 있다. 

VPN 제품으 I 종류 

VPN 제 품의 종류에 는 여 러 가지 가 있다. 이 것 들을 크게 3가지 류형 으로 갈라 볼수 
있 다. 

• 방화벽형 VPN 

• 경로기형 VPN 

• 전용의 쏘프트웨어 나 하드웨 어 

어 느 종류를 선택하겠는가 하는것은 자기의 요구와 이미 구입한 설비 에 의존한다. 
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방화벽형 VPN 

가장 널리 쓰이는 VPN 실현은 방화벽통합이 다. 사람들이 대체로 방화벽을 자기 망주 
변에 설치 하고 싶어 하므로 이 장치 가 VPN 련결을 지 원하도록 하는것은 자연스러운 확장 
으로 된다. 이것은 관리의 중심점을 제공하며 기관의 방화벽보안방책과 통과시키려고 하 
는 자료흐름사이에 직접적인 접촉을 실현한다. 

유일한 결 함은 성 능문제 이 다 . 

바쁜 인터네 트회 선을 가지 고 있다면 그리 고 강한 암호화를 가지 는 여 러개의 VPN 을 
리용하려고 한다면 이러한 봉사를 진행하려고 할 때 체계에 과부하를 주게 된다. 

이것은 대체 로 일반적 으로 제기되는 문제는 아니지 만 성능과 규모를 고려하여 YPN 
통로을 어 디서 끝마치 겠는가를 결정하여 야 한다. 

방화벽 -1과 갈은 일 부 방화벽 들은 처 리 기부하를 감소시 키 기 위하여 암호화기 판들을 
지원한다. 암호화기판은 표준 PCI 확장홈에 맞으며 암호화와 복호화를 다 취급한다. 

그러 나 이 기 판들을 리용하려 면 자기 의 PCI 확장홈들이 망기 판들에 의하여 쓰이 고 
있지 않는가를 확인하여야 한다. 

경로기형 VPN 

또 한가지 선택은 인터네트경계선경로기이다. 

이것은 인터네트에 련결하기 위하여 설치하는 또 하나의 장치이다. VPN 을 자기의 
경계선경로기에서 끝나게 하면 자료흐름이 방화벽에 도착하기전에 그것을 복호화할수 있 
게 된다. 

처 리 기 부하가 문제 로 되 므로 많은 경 로기 들은 전용집 적 회 로 ( ASIC ) 를 리용한다. 이 
것은 경로기에 특정의 과제를 담당한 처리기들을 배속시꺅므로 경로기에 과부하가 걸리 
지 않게 된다. 

경 로기 형 VPN 실현의 유일한 약점 은 보안문제이 다. 

일반적으로 경로기들은 방화벽에 비하여 매우 약한 경계선보안을 제공한다. 공격자 
가 VPN 통로의 다른쪽에 서 오는것 처 럼 보이 는 거 짓자료를 경 로기 로 통과시 킬수 있 다. 이 
것 은 공격 자가 인터네 트의 다른 위 치 에서 는 보이지 않게 봉사에 접 근할수 있다는것 을 의 
미 한다. 

전용하드웨어 또는 쏘프트워|어 

만일 이 미 방화벽 과 경 로기 를 구입하였지 만 VPN 능력 을 지 원하지 않는다 하여 도 모 
든것 을 잃 은것 은 아니 다 . VPN 련 결 을 만들기 위한 전용의 하드웨 어 나 쏘프트웨어 를 여 전 
히 쓸수 있다. 실례 로 DEC 의 AltaVista Tunnel 은 원격망과 원격사용자 VPN 에 로의 통로를 
지원하는 우수한 제품이다. 이것은 독립적 인 제품이기때문에 임의의 현존방화벽에서도 
동작할수 있다. 

전용실현의 가장 큰 약점은 추가적인 보안관리점들이 생기는것이다. 만일 장치가 방 
화벽바깥에 놓여 있 다면 경 로기 에 서 와 갈은 속임 수문제 들을 가지 는것 으로 된 다. 장치 를 
방화벽안에 넣 으면 자기 의 방화벽보안방책 을 리 용하는 접 근을 관리할수 없게 된다. 대 부 
분의 VPN 실현은 원래의 파케트를 그대로 암호화한다. 이것은 자료흐름조종결정을 하는 
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지 나 가는 모든 자료흐름은 같은 교갑화파케트머 리부를 리용한다. 

이것은 방화벽이 그 통로에서 교갑화된 SMTP 와 telnet 대화사이 
을 의미한다. 통로의 끝으로 통과시키 려는 자료흐름의 형 태를 조정 
공하려 면 전용 VPN 장치 에 의 거하여 야 한다. 

또다른 VPN 

모든 원격접 근문제 가 충분한 기 능을 가진 VPN 을 요구하는것 은 
로그람들은 이미 강한 암호화와 인증을 제공한다. 실례로 Lotus No 
서 Notes 正)파일은 사실상 비밀암호화열쇠이다. 이 열쇠는 수자식증 
될수 있는데 이것은 통과암호인증과 함께 자기가 누구인가를 확인하- 
Lotus Notes 는 또한 망을 통하여 전송하는 정보를 암호화한다. 
기본차림표에서 File — Tools — User Preferences 행 •■: Ports 를 선택 * 
Prefrences 화면을 얻을수 있 다. 

Encrypt network data 의 검 사칸을 선택 하여 우에 서 강조된 통거 
되 는 모든 자료를 암호화할수 있다. 그림 10-3 에 서 모든 TCP/IP 
것 이 다. 

원격망접 근이 Lotus Notes 응답으로 제 한된 다면 방화벽 을 통하 
어 서 Lotus Notes 가 모든 인증과 암호화를 관리하게 할수 있 다. U 
터네 트상에 열린채 로 남겨 두지 않으려면 모든 들어 오는 대 화들& 
증되도록 할수 있다(방화벽이 이 기능을 가지고 있다면). 이것은 1 
지 Lotus Notes 봉사기 는 접 근불가능으로 남아 있게 된 다는것 을 의 T 
통과되 면 봉사기자료에 접 근하기 전에 또 Notes 인증을 통과하여 야 t 
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Lotus Notes 는 모든 의뢰기-봉사기，봉사기-봉사기통신에 TCP 포구 1352 를 리용한다. 


매우 적은 제품들만이 자기의 인증 및 암호화기능을 가지고 있다. 일부는 추가적인 
망자원에 접근할수 있게 한다. 실례로 Ci 仕 ix 의 WinFrame 과 MetaFrame 제품은 WindowsNT 
조작체계에 기초한 말단봉사기능력을 제공한다. 또한 괜찮은 인증과 암호화를 제공한다. 
이것은 인터네트상의 사용자가 암호화된 대화를 통하여 Citrix 봉사기 에 접근하기 위하여 
Citrix 의뢰기 를 리용할수 있다는것을 의 미한다. 일 단 봉사기 에 련결되 면 사용자들은 체 계 
관리자가 접근을 허가한 임의의 내부응용프로그람들에 접근할수 있다. 

이 방법의 가장 큰 결함은 련결을 시작하기 위하여서는 의뢰기에서 특별한 쏘프트웨 
어 를 돌려야 한다는것 이 다. 그러 면 실제 적 인 진짜 VPN 의 봉사기 독립성 은 더 는 존재하지 
않는다. 그러나 Ci 仕 ix 와 갈은 회사들이 자기의 제품이 만능적으로 접근가능하도록 노력 
을 기울이고 있는 결과 문제는 달라 지고 있다. 

실례 로 WinFrame 과 MetaFrame 의 최 신관들은 더 이상 전문화된 의 뢰기의 리용을 요구 
하지 않는다. 지 금은 누구나 Netscape 와 Internet Explorer 의 최 신판을 지 원 하는 Web 열 람 
기접 속을 리용할수 있 다. 


일러두기 

열 람기접 속은 훌륭한 원격문제 해 결 책 으로 될수 있 다. 망관리 자는 Web 봉사기 를 통 
하여 접속쏘프트웨어와 구성파일을 준비하면 된다. 그러면 원격사용자들은 요구되 
는 쏘프트웨 어 (약 300KB) 를 내 리 적재 하여 자기 가 좋아 하는 Web 열 람기 를 리 용하여 
Citrix 봉사기에 련결할수 있다._ 


VPN 의 설치 

두개 의 원격망사이에 VPN 을 형 성 하기 위하여 제 7 장에 서 론의 한 방화벽 - 1 제 품에 로 
되돌아 가보자. 우리 가 방화벽- 1 을 론의 하고 있을 때 에는 VPN 을 설 치하는데 필요한 모 
든 단계들이 다른 제품들의 설치와 류사하다. 목적은 구성과정에 어떤것이 필요한가를 
인식 시 키 는것 이 다. 

제 7 장에서 언급한바와 같이 방화벽- 1 은 많은 VPN 선택안들을 지원한다. 여기에는 
SKIP 와 IPSec 그리 고 방화벽- 1 의 전용알고리 듬들이 포함된다. 이 실례 에서는 SKIP 가 
IPSec 보다 더 좋은 인증을 제 공하며 (비 록 추세 는 SKIP 능력 을 IPSec 에 통합시키 지 만) 규 
격 으로 접 수되 였 으므로 SKIP 를 리용하기 로 한다. 그것 은 또한 완전한 통로뚫기 를 지 원 
하는데 이 것 으로 하여 SKIP 가 사설 주소공간환경 에 서 리용될 수 있게 한다. 

방화벽의 준비 


죽 __°1 

방화벽- 1 에 대하여 잘 모르면 제 7 장을 복습하면 핀다. 


304 



이 절에서는 조종되는 인터네트접근을 제공할수 있는 능력을 가진 방화벽을 가지고 
있다고 가정한다. 이 과정에 방화벽방책이 최소의 규칙들만을 가지고 있다는것을 알수 
있다. 이 실례에서 그것은 간단성을 위하여 가정되였다. 규칙모임은 변할수 있으며 모든 
요구되는 방책들을 포함하여 야 한다. 


죽 __°1 

암호화규칙들은 방책을 편집할 때 맨앞에 넣어 우선적으로 취급하여야 한다. 

VPN 도식 

그림 10-4 는 우리 가 만들 VPN 의 망그림을 보여 주고 있다. 



터네트 | 

I 

경로기 



그림 10-4. VPN 의 실례 
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그림 은 두개 의 원격 망싸이트를 보여 준다. 하나는 HOLNT 200 이 라고 하는 방화벽 의 
뒤에 있고 다른 하나는 Witchvox 라고 하는 방화벽의 뒤에 있다. HOLNT 200 의 뒤에는 재 
정 정보와 관련 한 파일들을 가지 고 있는 하나의 FTP 봉사기 가 있 다. 목표는 안전한 통로 
를 설 치하여 Witchvox 의 다른쪽에 있는 의뢰기 들이 안전한 방법 으로 재 정파일들을 검 색 
할수 있게 하는것 이 다. FTP 는 모든 자료를 평문으로 보내 기때 문에 이 재정정 보들이 손 
상되 지 않도륵 담보하기 위하여 VPN 을 리용하려 고 한다. 

VPN 통로의 매끝에 대 하여 암호화령역 을 정의하여 VPN 을 구성한다. 이 것은 방화벽 
이 암호화된 자료흐름을 어느 원격망과 교환하는가를 확인하게 한다. 실례로 
192.168.1.0 망으로 향하는 자료흐름들을 암호화하도록 방화벽 Witchvox 를 구성 할수 있 
다. 또한 Witchvox 가 192.168.1.0 망에 서 받은 모든 자료흐름을 복호화하도록 지 시 할수 
있 다. HOLNT 200 은 같은 방법 으로 구성 되 는데 원격암호화령역 은 192.168. 3.0 으로 정 의 
된 다. 

필요한 망객체들의 구성 

첫 단계는 요구되는 모든 망객체들을 만드는것이다. 매개 방화벽은 다음의 대상들을 
가져 야 한다. 

• 국부암호화령역 을 위한 하나의 망객 체 또는 집 단 

• 원격암호화령역 을 위한 하나의 망객 체 또는 집 단 

• 자기 자신을 위한 워 크스테 이 션대 상 

• 원격방화벽 을 위한 워 크스테 이 션대 상 


망객체들의 정의 

국부망객 체 를 정 의하지 않았다면 아래 와 같이 하나의 대 상을 정 의하여 야 한다. 
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이것은 Secutity Policy 칸의 기본차림표에서 Manager — Network Objects — New — 
Network 를 선택 하여 실행될수 있 다. 이렇게 하면 그림 10_5의 Network Properties 화면이 
나온다. 이 대상에 이름을 주고 적당한 부분망주소와 마스크를 할당한다. 이 구성은 
Witchvox 우에서 수행되며 따라서 192.168.3.0 망객체의 위치는 내부인것으로 식별된다. 
OK 를 눌러 이 항목을 보관한다. 

만일 망토막이 여러개라면 매개에 대하여 정의한다. 모든 망객체들을 정의하였다면 
집단대상을 창조하여 이 매 망객체들을 그안에 넣어야 한다. 다음에 암호화령역을 정의 
하여 야 한다. 령역을 식별할 때 하나의 대상만을 지정하여 야 한다. 만일 여 러개의 망토 
막들을 식 별하여 야 한다면 망객체 들의 집 단을 규정하여 이 것을 할수 있다. 

내 부부분망들을 식 별하였 다면 원격암호화령역 에서의 부분망들도 식 별하여 야 한다. 이 
것은 국부토막에서와 같이 추가적인 망객체를 창조하여 실현한다. 차이점은 대상의 위치가 
그림 W -6 에서 보는바와 같이 External 로 되여야 한다는것이다. 그림 W -6 에서 Witchvox 방화 
벽 을 구성하는데 192.168.1.0 대 상은 원격 망의 부분으로 된 다. 그러 므로 그것 은 방화벽 의 
밖에 있는것으로 식별된다. 


일러두기 

국부대 상들과 혼돈하지 않기 위하여 원격 부분망들에 색 갈을 할당할수 있 다. 
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그림 10-6. 원격부분망들은 External 로 정의되여야 한다 


방화벽들의 정의 

이제 는 방화벽대 상들을 구성 하여 야 한다. Security Policy 칸의 기 본차림 표로부터 
Manager — Network Objects — New — Workstation 을 선택 하여 그 방화벽 에 대 한 망객 체 
를 구성한다. 그림 10-7 에 서 는 Witchvox 방화벽 을 구성 하고 자기 자신을 표현 하는 워 크스 
테 이션대 상을 만든다. 이 구성 에서 는 방화벽 의 외 부 NIC 로부터 IP 주소를 리용하며 그 위 
치 는 내 부인것 으로 정 의한다. 

다음은 Encryption 칸을 찰칵하고 국부암호화령 역 을 정 의 하고 암호화방법 을 선택 한다. 
이것을 그림 10 - 8 에 보여 준다. Encryption Domain 에서 Other 가 선택 되며 국부망객체가 
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탄다. 그리고 Encryption Schemes Defined 에서 SKIP 가 선택되 




SKIP 암호화를 선택하였으면 Edit 단추를 찰칵한다. 

그러면 그림 10-9 에 보여 준 SKIP Properties 창문이 나온다. 이 칸에는 등록된 열쇠 
정 보가 없 다. 원격체 계 들을 인증하기 위 하여 서 는 증명 서열쇠 를 생 성하여 야 한다. 이 구 
성에서 Local 이 증명서권한으로 지정된다. 다른 체계를 지적하려면 Remote 를 선택하고 
증명서권한을 위한 미 리 정의된 대 상을 선택하여 야 한다. 
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t 새 로운 증명 서 권한열 쇠 ( CA 열 쇠 ) 
관리열쇠 를 변경하는것 에 대 하여 
f VPN 련결을 가지고 있다면 이것- 
I - 의미한다. 이것 이 새 로운 구성 c 
1 계속한다. 

i 새로운 관리열쇠가 생성되고 있: 
리기속도에 따라 몇초 또는 몇분이 





그림 10-10. 열쇠생성이후의 CA Key 표쪽 


r 열쇠생 성후의 CA Key 칸을 보여 준다. 이 열쇠 들은 이 특정 
생성된 열쇠들은 서로 다른 값들을 가져야 한다. 

생성 되 였으면 DHKey 칸을 선택 하여 새 로운 Diffie - Hellman 열쇠 
Key 칸과 류사하다. Generate 단추를 눌러서 새로운 Diffie-Hellm 
I 성 이 끝나면 그림 10-11 과 같은 화면이 나타난다. 








국부방화벽 에 대상을 구성하였으므로 이제 는 W n 통로의 다른 끝에 있는 
I 상을 정의하여 야 한다. 이 것을 그림 10-12 에서 보여 주었다. 

아직 Witchvox 우에 서 동작하고 있지 만 방화벽 HOLNT 200 을 위한 대 상을 
는 자기의 외부 p 주소와 결합되여 있으며 위치는 External 로 정의되여 있디 
General 칸의 내용을 다 채 우고 OK 를 눌러 보관한다. 

원격방화벽우의 대상을 정의할 때까지 HOLNT 200 대상의 Encryption 칸에 



써 넣지 않는다. 이때 Network Objects 화면의 Close 를 눌러 이 대상들을 방화벽 에 설치 한 
다. 이 것은 Security Policy 칸의 기 본차림 표에서 Policy *， 때 Install 을 선택 하여 진행 한다. 

원격방화벽의 구성 

Witchvox 의 대상들을 정의하였으면 이제는 HOLNT 200 의 대상들도 정의 하여 야 한다. 이 
과정은 지금까지 한 과정과 갈은데 다음의 내용들이 다르다. 

• 192.168.1.0 부분망은 External 이 아니라 Internal 로 정의된다. 

• 192.168.3.0 부분망은 Internal 이 아니라 External 로 정의된다. 

• HOLNT 200방화벽은 External 이 아니라 Internal 로 정의된다. 

• 열쇠들은 HOLNT 200대상에 대하여 생성된다. 

• Witchvox 는 Internal 이 아니라 External 로 정의된다. 

이 대상들이 만들어 지면 Security Policy 칸의 기본차림표로부터 Policy — Install 을 선 
택하여 HOLNT 200에 그것 들을 설 치한다. 

열쇠교환 

열쇠 들을 교환하기 위 하여 서 는 Witchvox 방화벽 에 돌아 가서 HOLNT 200 을 위 하여 창 
조한 대상을 편집 한다. HOLNT 200 에 대한 Workstation Properties 화면이 나오면 
Encryption 칸을 선택 한다. Encryption Domain 에 서 192.168.1.0 망 (HOLNT 200뒤 에 있는 
원격 망) 에 대 하여 만든 대 상을 결 합한다. 또한 Encryption Schemes Defined 에 서 SKIP 를 
선택한다. 그러 면 그림 10-13 과 같은 대 화칸이 나타난다. 
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그림 10-13. 원격 방화벽 HOLNT 200 에 대 한 Encryption 속성 
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SKIP 속성 들을 관리 하기 위 하여 Edit 단추를 찰칵하면 Witchvox 대 상에 서 와 류사하지 만 
약간 다른 화면이 나타난다. 

이 것을 그림 10-14 에 보여 준다. 증명서권한이 국부체 계 로 정의될 대 신에 Remote 가 
선택되며 HOLNT 200대상은 원격체계로 선택된다. 

Generate 단추는 없고 그대신에 Get 단추가 있다. 

그 리유는 새 로운 열쇠 를 생 성하는것 이 아니 라 열쇠 를 HOLNT 200에 서 가져 오기 때 
문이다. 
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그림 10-14. HOLNT 200의 SKIP 속성의 CA Key 표쪽 

Get 단추를 찰칵하면 원격 증명 서 를 검 색할수 있 다. 

그 열쇠 들을 보내는것 이 HOLNT 200임 을 확인하기 위하여 인증없 이 열쇠 들을 가져 
간다는것 을 경 고하는 대화칸이 나온다. 이것은 정상이 다. 즉 이 것은 두 체 계사이의 첫 
열쇠교환이며 따라서 원천을 인증하는데 리용될수 있는 이전의 열쇠정보는 없어 지게 된 
다. 또한 열쇠값을 수동적으로 확인하여야 한다는것을 알린다. 이것은 원격방화벽관리자 
를 불러 서 받은 열 쇠값들을 읽 는 방법 으로 실 행할수 있 다. 그들은 자기 들이 국부방화벽 
대상에 대 하여 생성된 열쇠값들을 비 교하여 야 한다. 

우 리 의 실 례 에 서 는 HOLNT 200 방 화 벽 에 가 서 HOLNT 200 대 상 을 편 집 하 고 
Encryption 칸의 SKIP 속성들을 검사하는 방법으로 정확한 열쇠들을 받았다는것을 확인할 
수 있 다. 

CA Key 들을 받았으면 DH Key 표쪽을 찰칵하여 Diffie-Hellman 열쇠를 가져 온다. 
CA Key 표쪽에서와 같이 Generate 단추는 Get 단추로 바권다. Get 단추를 찰칵하여 열쇠를 
원격방화벽 으로부터 가져 온다. 이 때 그림 10-15 와 같은 화면 이 펼 쳐 진다. CA 열쇠 와 
마찬가지 로 원격방화벽관리 자를 찾아서 열쇠값을 수동적 으로 확인하여 야 한다. Write 단 
추를 찰칵하면 OK 단추를 찰칵하여 우의 조작들을 보관한다. 
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그림 10-15. HOLNT200 의 SKIP 속성에 대한 DH Key 표쪽 

원격방화벽에서 열쇠를 가져오기 

Witchvox 는 지금 HOLNT 200 으로부터 필요한 모든 열쇠정보들을 가지고 있다. 이제 
는 HOLNT 200 방화벽 에 가서 Witchvox 대 상을 편집 하여 HOLNT 200 이 필요한 열쇠 정 보들 
을 가져 갈수 있 게 하여 야 한다. 이 과정 은 이 미 수행한것 과 같은데 다른것 은 Witchvox 
의 Encryption 칸에서 정의되는 Encryption Domain 이 부분망 192.168.3.0 (Witchvox 뒤에 있 
는 부분망) 을 지 적하여 야 한다는것 이 다. 나머 지 단계 들은 다 같다. 일 단 HOLNT 200 이 
열쇠들을 가져 왔다면 그것들을 수동적으로 확인하여 야 한다. 

보안방책의 변경 

요구되는 모든 망객체들을 창조하고 열쇠들을 교환하였다. 이제는 규칙들의 모임을 
정의하여 방화벽 이 언제 VPN 을 리용할것 인가를 알게 하여 야 한다. 이것은 PoHcyEditor 
의 꼭대기에서 하나의 새로운 규칙을 만들고 국부 및 원격망을 Source 및 Destination 렬에 
추가함으로써 수행된다. Service 렬에서는 기정 으로 Any (이 것은 두 암호화령역 사이의 모 
든 자료흐름을 암호화한다. )를 선택하거 나 어 떤 특정 의 봉사만을 암호화하도록 선택할수 
있 다. 

Action 렬 에서 오른쪽찰칵하여 Encrypt 를 선택 한다. 규칙 들은 그림 10_16의 1행 과 
갈다. 


추 __°1 

국부 및 원격 암호화령 역 들은 Source 및 Destination 행 들에 나타나야 한다. 


이제 는 이 특정의 VPN 에 대 한 암호화속성 들을 정의하여 야 한다. 이 것은 다시 
Action 칸에 서 오른쪽찰칵하여 수행 되 는데 이 때 Edit Properies 를 선택 하여 야 한다. 이 때 
그림 10-17 과 같은 Encrytion Properties 창문이 나온다. 방화벽-1 이 여러가지 형태의 암호 
화를 지원하기때 문에 여 러개의 VPN 들우에서 여 러 가지 형 태로 암호화를 리용할수 있다. 
그러 므로 이 VPN 통로에 리용하려 는 암호화형 태 를 지 정하여 야 한다. 
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Crypt Algorithm 이 것은 자료를 암호화하고 복호화할 때 리용하는 암호화방 
법 을 설 정한다. 

MAC Algorithm VPN 통로의 원격끝에서 체 계를 인증할 때 리용하는 암호화 
방법 을 설 정한다. 

Allowed Peer Gateway 이것은 누가 VPN 전송을 시 작하겠는가를 정의한다. 
만일 Any 가 선택 되 면 매 암호화령역 과 결 합된 방화벽 이 암호화자료를 
전송하게 된다. 만일 특정의 체계가 지적되면 Security Policy Editor 에서 
2개의 규칙이 또 요구된다. 

NSID 이것은 이 름공간 ID 들을 선택한다. None 을 설정하면 교갑화된 머 리부 
에 있는 NSID 정보를 포함한다. 

IPSEC Options SKIP 가 IPSEC 와 함께 리 용되 면 이 항목들중 하나 또는 2 
개 가 설정 되 여 야 한다. ESP 항목은 암호화를 설정하며 AH 항목은 인 
증을 설 정한다. 

이 특정의 VPN 련결을 위한 SKIP 항목들을 설정한 다음에는 OK 를 두번 찰칵하여 보 
관한다. 

그러면 Security Policy 기본화면으로 돌아 간다. 

이제는 방책 변화들을 설 치 하여 그것 이 동작하게 하여 야 한다. 그러 기 위 하여 
Security Policy 칸의 기 본 차 림 표 에 서 
Policy — Install 을 선택한다. 

이 상으로 VPN 련결 을 설 치 하기 위한 Witchvox 에 로의 모든 요구되 는 변화가 완성 
된 다. 

원격방화벽에서의 보안방책의 수정 

이제는 HOLNT 200 에서의 보안방책과 SKIP 속성들을 수정 해 야 한다. 이것은 Witchvox 
를 구성할 때와 같다. 그 규칙들은 그림 10-16 에서와 곡 같다. 또한 SKIP 속성들에서 같 
은 항목들을 선택하였는가를 확인하여 야 한다. HOLNT 200 우의 모든 방책변경 이 끝나면 
그것 을 설 치하여 변화가 동작하게 해 야 한다. 
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우에서와 같이 하여 VPN 의 설치 가 완료되 였다. 이제 남은것은 VPN 을 시험하여 그 
것이 정확히 기능하는가를 확인하는것이다. 그러기 위하여 Witchvox 뒤의 192.168.3.0 망 
으로부터 HOLNT 200 뒤 에 있는 FTP 봉사기 에 로 하나의 FTP 대 화를 기동한다. 
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그림 10-19. Witchvox 의 FTP 기록파일항목 


만일 Witchvox 우의 방화벽경 과기 록파일 을 보면 그림 10-19 와 같은 나가는 대 화를 볼 
수 있다. 첫째 기 록항목은 192.168.3. 10에 서 나와서 원격 FTP 봉사기 의 IP 주소인 
192.168.1.10 으로 가는 FTP 대화를 보여 준다. 여기서 자료흐름이 암호화되였다는것을 
알수 있다. 

이제 는 FTP 대 화가 성 과적 으로 전송되 였 다는것 을 알수 있다. 또한 전송이 정 확히 수 
신되 였 다는것 을 확인하기 위하여 HOLNT 200 우의 방화벽경 과기 록파일 을 검 사하여 야 한다. 
이것을 그림 10-20 에 보여 준다. 여기서 기록파일은 방화벽이 이 자료흐름을 복호화하여 
야 한다는것을 지적한다. 방화벽은 FTP 봉사기의 진짜이름 ( LAB 31) 을 알고 있기때문에 
목적지！ p 주소로 이 이름을 바꾸어 넣 었다는것을 알수 있다. 



그림 10-20. HOLNT200 의 FTP 기록파일항목 


자료흐름의 확인 

이 모든것 이 정 확하지 만 진짜 시 험은 망분석 기를 통하여 방화벽 에 의해 전송되 는 자 
료흐름을 해 신하는것 이 다. 경 과기 록의 항목들은 자료흐름이 암호화되 고 복호화될것 을 요 
구하지만 절대로 검사에 지장이 되지는 않는다. 

망분석기는 전송되는 파케트의 내용들을 보여 줄것 이다. 

만일 자료흐름안에 있는 재정정보 같은것을 읽을수 있다면 그때는 문제이다. 
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그림 10-22. 암호화된후의 자료흐름 
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그림 10-21 은 방화벽 에 의해 암호화되 기전의 FTP 대 화의 파케 트해 신을 보여 준다. 
여기서 이것이 명백히 FTP 대화임을 구별할수 있다. 

또한 이러한 대화를 수행하는 체계들의 IP 주소들을 구별할수 있다. 아래의 창문의 
정보를 보면 전송되는 자료가 신용카드정보로 나타난다는것을 알수 있다. 

그림 10-22 는 같은 자료흐름이지만 방화벽의 바깥으로부터의 자료흐름을 보여 준다. 
공격 자는 누가 VPN 을 통하여 전송되는 자료를 얻으러 하는가를 알수 있다. 매 파케트의 
전송층규약은 57로 식별된다. 이것은 전송층규약을 통로규약으로 식별하며 교갑화된 파 
케 트에 서 리용되 는 진짜 전송층내 용이 나(이 경 우에 TCP ) 전송층을 통하여 진행 되 는 
봉사를(이 경우에 FTP ) 볼수 없게 한다. 

가운데창문을 들여 다 보면 원천 및 목적 지 IP 주소가 각각 HOLNT 200 및 Witchvox 의 
주소라는것을 알수 있다. 그 자료흐름의 진짜원천 및 목적지주소는 보이지 않는다. 이 
것은 암호화된 파케트안에 전송층과 봉사를 숨기는것과 결합하여 공격자가 그 자료전송 
이 더 가치 있는지를 알수 없게 한다. 사실 이 모든 수집된 자료흐름이 하나의 대화로부 
터 나왔다는것을 검증할 방법이 없다. 우의 창문에 렬거된 매 파케트들은 동시에 진행되 
는 여러 통신대화들로부터 올수 있다. 

FTP 대 화를 찾기 위하여 공격 자는 수많은 파케 트들을 복호화하여 야 한다. 

진짜시험은 아래의 창문이 다. 자료는 지금 암호문으로 되여 더 이상 읽을수 없다. 그 
러므로 공격자는 그림 10-21 에서와 같이 포장된 자료를 읽을수 없게 된다. 이 정보를 얻 
기 위 하여 서 는 공격 자는 어 느 정 보가 재 정 정 보인 가를 알아서 그것 을 전체 조사공격 으로 
복호화하여 야 한다. 

이 두개 의 파케 트경 로가 주어 지 면 VPN 이 정 확히 기 능하고 있 으며 두 암호화령역 사 
이를 흐르는 자료가 암호화되고 있다는것을 알수 있다. 

요 약 

이 장에서는 가상사설망의 의미를 정의하고 언제 VPN 을 리용하는것이 좋은가에 대 
하여 보았다. 또한 어떤 VPN 제품들이 있으며 어떤 종류가 좋은가에 대하여 보았다. 마 
지막으로 두개 의 방화벽 사이 에서 의 VPN 의 구성 을 보고 자료흐름을 통과시 킬 때의 그 효 
과에 대하여 보았다. 

다음장에서는 비루스에 대하여 보고 망에서 어떻게 이 파괴적인 코드들을 없앨수 있 
는가에 대하여 고찰한다. 


318 



제 1 1 장. 비루스，트로이목마，웜 


모든 체계관리자들은 반드시 비루스에 대하여 관심을 돌려야 한다. 이 크지 않은 코드 
토막이 체계에 막대한 손실을 줄수 있으므로 매우 심중한 문제로 고려된다. 많은 기관들이 
이 문제로 하여 생산력과 지적능력에서 큰 손실을 보고 있다. 명백히 비루스의 공격을 받 
고 그것을 회복하는것은 비루스를 사전에 막아 내는것보다 훨씬 더 많은 비용이 든다. 

비루스 : 틍계자료 

1990년대 초에 는 상대 적 으로 비 루스의 영 향을 적 게 밤았다. 그러 나 인 터네 트의 도입 
과 함 께 를 퓨 터 체 계 들 이 비 루 스 의 피 해 를 받 을 위 험 은 증 가 되 였 다 . 1997 년 에 
NCSA (National Center for Supercomputing Applications ) 의 한 조사연구는 전체 회사들중 
99. 33%가 최근에 비루스의 피해를 받은적이 있다는것을 보여 주었다. 

1996년 에 매 달 비 루스감염 률은 콤퓨터 1000대 중 10대 이 상이 였 으며 1997년에 그것 이 
3배 이상으로 증가되 였 다. 2000년 10월 에 제 출한 ICSA (지 금은 TmSecure ) 의 연구에 의하 
면 최근 5년동안 콤퓨터 1000대당 비루스감염률이 매해 적어도 두배씩 증가하여 2000년 
에는 1000대 당 160대 로 늘어 났다는것을 보여 주었다. 

또한 다음과 같은 연구자료들도 있다. 

• 모든 회 사들은 매 해 비루스로 인하여 막대한 피 해를 보고 있다. 

• 조사된 회사들중 40%이상이 비루스감염 으로 자료를 류실 당한적 이 있다. 

• 회 사들중 3분의 2가 비루스의 침습에 의하여 전자우편들을 손실 당한적 이 있 
다. 

• 조사한 회사들중 하나만이 년중에 비루스의 피해를 한번도 입지 않았는데 이 
것은 감염률이 99. 67%임을 보여 준다. 

• 주요 비루스피해 (한번에 25대이상에 피해를 주는)는 51%의 회사들에서 나타 
났다. 

• 그중 80%는 전자우편접촉을 통하여 비루스가 전파되였다. 

• 봉사기들중 64%가 한시 간이상 계속된 비루스감염 으로 하여 평균 21시 간동안 
작업을 하지 못하였다. 

• PC 들중 70%만이 완전시 간 자동반비 루스체 계 에 의해서 보호되 였 다. 

• 조사에 응한 회 사나 기 관의 76%가 비 루스문제 가 전해 (1999 년)에 비 하여 더 
심각해 졌다고 하였다. 

조사결 과는 또한 기 동비 루스나 플로피 디 스크비 루스는 거 의 나타나지 않는다는것 을 
보여 주었다. 이것은 주로 공유하는 풀로피디스크들에서 비루스들이 전파된다고 한 1997 
년 NCSA 조사와는 상반되는것이다. 지금은 주로 전자우편을 통한 파일공유로 하여 인터 
네 트가 플로피 디 스크를 대 신하여 파괴 적 인 코드들을 전파시키 고 있 다. 
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비 루 스 는 를 퓨 터 에 만 있 는 것 이 아 니 다 . 2000 년 8 월 에 처 음 으 로 PDA 
(Personal Digital Assistants ) 들에 영향을 준 파괴적인 코드가 기록되였다. 
Liberty Crack 라고 하는 프로그람은 현실적으로 Palm OS 가 동작하는 휴대용 
장치 로부터 응용프로그람들을 쓸어 버 렸다. 

같은해 6월에는 콤퓨터에서 동작하는 Timofonica 비루스가 나타났는데 그것 
은 어 떤 본문통보문을 에스빠냐의 모든 휴대 용전화기 들에 전송하도록 설계되 
였 다. 


비루스란 무엇인가 

비 루스에 대 한 정 확한 정의 는 오래동안 론의되 였다. 전문가들은 진짜비 루스를 특징 
지으며 그것을 다른 형태의 프로그람들과 구별하게 하는 본질적인 정의에 대하여 여러해 
동안 론쟁하였다. 사람들은 보통 비루스，월，트로이목마 등을《비루스》라는 하나의 
이름으로 불러 왔다. 이러한 형태의 모든 프로그람들을 포괄적으로 특징 짓는 정의가 없 
는것 으로 하여 이 정의는 정 확하다고 볼수 없다. 

일 반적 으로 비 루스는 다음의 3가지 기 능을 가진 프로그람이다. 

• 복제 

• 잠복 

• 폭탄 

이 3가지 속성 이 합쳐 져 서 비 루스프로그람을 형 성한다. 

복제 

비 루스는 반드시 어 떤 복제방법 즉 자기 자체 를 재 생하거 나 복제하는 기 능을 가져 야 
한다. 비루스가 다른 파일 에 자기 자체를 복제하면 이것을 때 로 감염 이라고 한다. 사람들 
은 대부분 비루스를 자기체계에 모르고 태우기때문에 비루스가 전파되게 된다. 

복제는 비루스가 기억기에 들어 가서 CPU 동작에 접근할 때 일어 난다. 

비루스는 하드디스크안에서는 복제되지 않는다. 이것은 감염된 파일이 실행될 때에 
야 비루스가 활동상태로 된다는것을 의미한다. 《실행된다》는것은 일반적인 의미이다. 
이것은 감염된 실행 파일의 기동 또는 감염된 Microsoft Word 문서 가 본문편집 기 에 적재되 
는것 등을 의미한다.이때 이것 들은 CPU 에 의하여 처 리되며 이 를 통하여 비 루스코드를 
전파시킬수 있다. 

파일 감염 

복제 방법 에 는 두가지 가 있 다 . 그중 하나는 파일 감염 이 다 . 

이 복제방법 은 자기 자체 를 다른 파일 에 붙이 는 비 루스의 능력 에 기 초하고 있다. 리 
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론적으로 임의의 형태의 파일도 공격 받을수 있다. 그러나 공격자들은 CPU 순환에 접근 
할수가 있는 파일에 주목한다. 이것은 직접 실행을 통하여 또는 응용프로그람에 의해 처 
리된 코드에 의하여 진행된다. 

실례로 Word 문서는 기억기상에서 임의의 형태의 지령으로도 직접 실행되지 않는 
다 . Microsoft Word 를 실 행 하면 Word 문서 에 매 몰된 마크로지 령 들을 읽 을수 있 으며 기 억 
기 에서 그것을 실행할수 있다. 따라서 Word 문서 가 감염 되 면 Word 응용프로그람은 복제 
를 일으킨다. 

오래전부터 이러한 형태의 비루스들은 DOS 의 ANSI . SYS 구동기를 침습하였다. 임의 
의 본문문서는 매몰된 ANSI 지 령 들을 포함한다. ANSI 구동기 가 태워 져 있다면 사용자가 
파일의 본문을 보기만 해도 이 지령이 파일로부터 분석되여 실행된다. 새로운 원천코드 
파일에 자기를 매몰하는 비루스들도 있다. 코드가 콤파일되면 비루스는 CPU 에 접근하여 
복제 된 다. 

그러 나 대 부분의 감염 은 실 행파일 을 감염시키 는것 이 다. PC 에서 이 런 파일은 확장자 
가 com , exe , pe 또는 bat 이다. 비루스는 파일의 시작부분에 작은 코드조각을 첨가한 
다. 이것은 파일이 실행될 때에 비루스가 기억기에 있다는것을 보여 준다. 그리고 비루 
스는 나머 지코드들을 파일 의 내 부 또는 끝에 넣는다. 

일단 파일이 감염되면 두가지 형태의 복제가 진행될수 있다. 이 두 가지를 상주복제 
와 비상주복제 라고 한다. 상주복제비루스는 기 억기 에 들어 가서 다른 프로그람이 실행되 
기를 기다렸다가 실행되면 감염시킨다. Cabanas 와 같은 비루스들은 지어 Windows NT 와 
갈은 보안된 기 억체 계들우에서도 감염 을 일 으킨다. 비상주복제비루스는 디 스크우의 하나 
또는 그이상의 실행파일들을 선택하고 기억기안에서 실행될 때를 기다리지 않고 직접 감 
염시킨다. 이것은 감염된 실행파일을 실행시킬 때마다 일어 난다. 

때때 로 비 루스는 존재하는 파일을 감염시키지 않고 비 루스코드의 복제 를 함께 하기 
위하여 조작체계의 확장자 검색순서를 리용할수 있다. 이런 형태의 비루스를 동료 
( companion ) 비 루스타고 한다. 동료비 루스는 합법 적 인 (정 당한) 실행 파일 이 실행 되 기 전에 
자기의 실행파일 이 실행되 게 한다. 

실례 로 실 행파일 gl . eM 로 초기 화한 계 산프로그람을 가지 고 있다고 하자. 계 산프로 
그람을 gl 만 건반으로 처서 실행시 킨다면 공격 자는 기 억 기 에 적재된 gl.com 이 라는 비 루 
스를 생성하여 gl.exe 파일의 조종을 빼앗을수 있다. 이 것은 파일확장자가 정의 되 지 않았 
으면 DOS 와 Windows 가 먼저 com 파일을 실행 하고 그다음 exe , bat 파일의 순서 로 실행 하 
기때문이다. 만일 이런 파일이 있으면 조작체계는 검색하기를 그만두고 프로그람을 실행 
한다. 

우의 실 례 에 서 조작체 계 는 진짜파일 (확장자 exe ) 을 찾기 전 에 비 루스파일 (확장자 
com ) 을 찾아서 그 파일을 실행한다. 


기동분구복제 

복제의 두번째 형태는 기동분구복제 이다. 이 러한 비루스는 디스크가 처음 호출될 때 
또는 기동될 때 읽 게 되 는 디 스크의 구역 을 감염시 킨다. 이것 은 1차기동레 코드나 조작 
체계의 기동분구 등이 될수 있다. 
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파일과 기동분구의 복제기능을 다같이 가진 비루스를 다원비루스타고 한다. 


이러한 구역을 감염시키는 비루스는 체계명령들을 가지고 그것들을 디스크의 다른 구 
역 으로 움직여 놓는다. 그다음 비루스는 자기의 코드를 기동기록호에 마음대로 가져 다 놓 
는다. 체계가 초기화되면 비루스는 기억기에 적재되여 체계지령을 위한 새로운 위치 (주소) 
만을 가리킨다. 이것은 비루스가 기억에 현재 상주하고 있다는것을 제외하고는 체계가 정 
상으로 기동하게 한다. 


죽 __°1 

기 동분구비 루스는 복제 를 위하여 감염 된 디 스크에서 의 프로그람실 행 을 요구하 
지 않는다. 디스크를 호출하기만 해도 충분하다. 실례로 대부분의 PC 들은 플 
로피 디스크구동기의 조작을 검사하는 체계검사를 진행한다. 이러한 검사과정 
에 플로피디스크에 있던 기동분구비루스가 동작하게 된다. 이렇게 되면 하드 
구동기 S , 감염된다. 


기동분구비루스가 복제되자면 디스크와 디스크의 접촉이 필요하다. 두개의 디스크 
들이 같은 기계에 소속되여야 한다. 실례로 다른 체계에서 기동분구비루스가 들어 있는 
체계우의 공유된 등록부에 접근하면 비루스는 그 체계에 복제될수 없다. 

이것은 두개의 기계가 기억기나 처리소자를 공유하지 않기때문이다. 

그런데 기동분구비루스를 전파시킬수 있는 dropper 라는 프로그람은 망까지 건너 간 
다. dropper 는 비 루스를 효과적 으로 설 치 한다. dropper 는 자기 자체 에 비 루스를 감추고 
반비 루스쏘프트웨어 를 속여 넘 긴다. 또한 사용자들이 프로그람을 실행하도록 재 촉하기 
위하여 쓸모 있는 프로그람들을 내 장하고 있다. 

dropper 프로그람이 실행되면 비루스가 국부체계에 설치된다. 


죽 __°1 

dropper 를 리 용하여 공격 자는 망을 통하여 기 동분구비 루스를 감염 시 킬수 있 
다. 비 루스가 일 단 들어 간 다음에 비 루스를 더 복제하려 면 디 스크-디 스크접 
근이 요구된다. _ 


파일감염과 기동분구복제의 공통적인 특성 

파일과 기동분구비 루스복제 에서 공통적 인것은 비루스가 자기를 검출하는 어떤 방법 
을 가져 야 한다는것 이 다. 이 것은 감염의 반복으로 일 어 나는 혼란을 막기 위하여서이 
다. 만일 혼란이 일어 나면 프로그람은 쓸모 없게 되거나 사용자가 어디엔가 틀렸다는것 
을 알수 있게 된다. 

만일 복제를 계속할수 없으면 비루스는 사멸하고 만다. 
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재미 있는 Catch -22 


비루스제작자들이 복제를 막기 위하여 쓰는 한가지 방법은 비루스를 검사하고 파 
일의 감염을 막는데;意, 쓰인다. 많은 비루스제작자들은 자기가 알고 있는 특별한 코드 
렬로 자기의 비루스를 알아 본다. 그러면 비루스는 파일을 감염시키기전에 이 코드렬 
을 찾도록 설계된다. 그런 렬이 있으면 파일은 감염되지 않는다. 

반비루스쏘프트웨 어는 이 서명코드렬을 찾도록 설계될수 있다. 이것은 쏘프트웨어 
가 비루스의 존재를 빨리 알수 있게 한다. 또한 정확한 비루스코드가 없이도 이 코드 
렬을 파일에 불이면 비루스에 감염되지 않는다. 


마크로비루스 

마크로비루스는 조작체계와는 반대로 응용프로그람에 의하여 실행되며 따라서 조작 
체계 독립이다. 

VBA (Visual Basic for Applications) 에 의 하여 만들 어 지 고 Microsoft 의 Office (Word, 
Excel, Access) 에 의 하여 실행 되며 문서 에 숨어서 다른 비슷한 문서 들에 의 하여 류포되 
며 때때 로 체 계의 다른 파일들을 감염，파피시킨다. 

ICSA 의 통보에 의하면 마크로비 루스는 알려 진 전체 비 루스의 80%에 달하며 그 수 
는 점점 늘어 나고 있다. 마크로비루스의 위험성은 문서의 열기，보관, 편집 등 응용프 
로그람리용의 임의의 단계에서 파일을 감염시키는 능력이다. 또한 VBA 가 배우기 쉽고 
마크로비루스를 약간의 기술로도 능히 만들수 있는것과도 관련된다. 

잠 복 

복제를 추진시키려면 비루스가 자기의 존재를 감추는 여러가지 기능을 가지고 있어 
야 한다. 비 루스의 동작이 Windows 98과제 띠 에 나타나면 그것 을 제 끽 알수 있 다. 비 루 
스들은 자기 의 존재 를 감추기 위하여 여 러 가지 교묘한 수법 들을 많이 쓴다. 

작은 흔적 

비루스는 크기가 매우 작아 지는 방향으로 발전하고 있다. 큰 비루스타고 해도 크기 
가 2KB 보다 작을수 있다. 이러한 작은 흔적은 비루스가 작은 기억공간에서 실행될 때 
자기 를 쉽 게 감추게 한다. 비 루스를 될 수록 작게 하기 위하여 아쌤 블러어 로 작성한다 . 

비루스가 작으면 다른 파일에 가불어도 전체적 인 파일크기에 영향을 주지 않는다. 
구멍비 루스타는것도 있는데 이것 은 파일안에서 반복되 는 렬(보통 령값)을 찾아서 이 구 
역을 자기의 구역으로 한다. 이것은 비루스가 파일크기에 영향을 주지 않고 자기의 코드 
를 삽입하게 한다. 

속성위조 

파일 을 비 루스감염 으로부터 막기 위하여 초기 에 DOS 를퓨터사용자들은 자기 의 실 행 
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파일을 읽기전용으로 하였다. 

그것은 만일 파일 이 위조될수 없으면 비루스에 감염되지 않을것 이 라고 생각하였기때 
문이다. 물론 비루스제작자들은 비루스를 감염시키기전에 파일의 속성을 검사하는 코드 
를 비루스에 추가한다. 만일 속성이 읽기전용으로 되여 있으면 비루스는 읽기전용속성을 
변화시켜 파일을 감염시키고 다시 속성을 원래대로 만들어 놓는다. 물론 이 방법은 현대 
적 인 비루스를 막기에는 너무도 약하다. 

그러나 다중사용자환경에서 허가준위가 사용자-사용자준위에서 설정되면 사정은 달 
라 진다. 만일 관리자준위특권이 파일속성을 변화시키게 되여 있다면 비루스는 합법적인 
사용자준위에서 진행되는 이 속성을 변화시킬수 없다. 

실례 로 NetWare 봉사기환경 에서 합법적 인 사용자들이 공유된 등록부에 읽 기권한으로 
접근한다고 하자. 만일 사용자콤퓨터가 비루스에 감염된다면 비루스는 공유등록부의 파 
일을 감염시키거나 다른 기계들에 전파할수 없다. 왜냐하면 비루스가 이 파일들을 수정 
할수 없기때 문이 다. 물론 관리 자의 콤퓨터 가 감염 되 면 사정 은 달라 진다. 그러 나 역 시 
최 저준위 의 권한을 설정하면 안전성 도 높이 고 비 루스의 전파도 막을수 있 다. 


죽 __°1 

흥미 있는것은 구좌보안의 결함이 바로 DOS 나 Windows 9x, Mac 환경에서 
비 루스들이 잘 번식 되 는 리유로 된다는것 이 다. UNIX 나 Windows NT/2000 
용으로 작성 된 비 루스들은 매 우 적 다. 왜 냐하면 파일의 속성 을 설정하는 능력 
이 비루스의 복제 및 감염능력을 제한하기때문이다. 이것은 비루스작성자들이 
다른 플래트홈들에 주의를 돌리는 요인의 하나이다. 


파일속성 과 함께 비 루스는 또한 파일과 관련된 자료와 시 간표를 수정할수 있 다. 이 
것은 파일이 수정되였다는것을 사용자가 알아 채지 못하게 하기 위하여서이다. 비루스가 
있는가 보자면 먼저 자료변화를 찾아 보아야 한다. 대부분의 현대적인 비루스들이 감염 
이후 자료와 시간표를 원래대로 해놓기때문에 이 방법은 효과가 적다. 


주 의 

NTFS 가 동작하는 Windows NT 체 계 들은 자료흐름을 리 용하기 때 문에 특별 히 
약하다. 자료흐름은 합법적 인 파일과 결합될수 있는 규칙적 인 파일 이다. 이것 
은 공격자가 비루스코드를 숨길수 있는 구역을 제공한다. 자료흐름들은 탐색 
기 나 DIR 지 령 으로는 볼수 없다. 자료흐름은 직접 (이 미 그것의 존재를 알고 
있다는 의미) 혹은 자료흐름을 찾을수 있게 설계된 특별한 도구(례하면 
www. hoysoft. de/nt/ep-lads. htm 에서 내리 적재 할수 있는 프리웨어인 LADS 
List Alternate Data Streams) 를 리 용하여 참고하여 야 한다 . _ 


스텔스 

스텔스는 비루스가 파일 이 나 기동분구에 만들어 놓은 조작을 숨기게 한다. 비루스가 
기 억 기 안에 들어 가면 파일 과 디 스크분구들에 만들어 진 체 계호출들을 관리한다. 호출이 
들어 오면 비 루스는 호출을 만드는 과정 으로 돌아 가는 정 보를 수정하여 감염 되 지 않은 
것처 럼 보이게 한다. 이것은 비루스가 검사를 피할수 있게 한다. 


324 




실례로 많은 기동분구비루스들은 스텔스능력을 가지고 있다. 만일 감염된 디스크로 
기 동한다면(그 결 과로 비 루스가 기 억 기 에 들어 오면) FDISK 와 같은 프로그람들은 기 동 
기록이 정상이라고 보고하게 된다. 이것은 그 비루스가 FDISK 로부터의 분구호출을 가로 
막고 원 래 의 기 동분구정 보를 보내 기 때 문이 다 . 그런 데 깨 끗한 플로피 디 스크로 체 계 를 기 
동한다면 그 구동기 는 접 근불가능하게 된 다. FDISK 를 다시 실 행하면 프로그람은 구동 
기 의 기 동분구가 감염되 였 다는것 을 알수 있 다. 

잠복은 또한 Dm 나 MEM 과 같은 지령이 알려 주는 정보를 위조해서도 실현할수 있 
다. 이것은 제 한된 기 억구역안에서 비루스가 자기의 존재를 숨기게 한다. 그런데 스텔스 
를 리용하자면 비루스가 기억기안에서 동작하여야 한다. 이것은 비루스의 스텔스부분이 
반비 루스에 약하다는것 을 의 미한다. 


대항책들 

일부 비 루스들은 검 사에 피 하기 위하여 대 항기 능을 가지 고 있 다. 이 비 루스들은 체 
계 에서 비 루스주사가 시 작되는가를 감시 하며 자기 들이 검출되 지 않았다는것 을 검 증하기 
위한 방어측정 을 한다. 

이것도 스텔스속성처럼 생각할수 있다. 

실례 로，일부 비 루스들은 기 억 기 에서 능동으로 되 면 체 계활동을 조종한다. 만일 비 
루스가 비루스스캐너가 기동되였다는것을 알아 차리면 다른 비루스가 그 체계에 이미 있 
는것 처 럼 속이 기 위하여 시 도한다. 그렇 게 되 면 비 루스가 실제 적 으로 존재하지 않아도 
체 계 자원을 파피 하는 어떤 형 태의 청 소를 실행하도록 한다. 그리 고 그 비루스는 파일체 
계에 잠복하여 새로운 형태의 감염을 일으키게 된다. 

스텔 스와 마찬가지 로 대 항책 은 비 루스가 기 억 기 안에 서 동작할 때 활동을 조절한 
다. 따라서 깨끗한 기동디스크로부터 체계를 기동하는것이 중요하다. 

DOS 체계에서 체계를 정확히 전원재기동하는것이 필요하다. 많은 비루스들은 
CTRL + ALT+DEL 지 령 을 없 애 버 리 고 틀 린 기 동을 만들수 있 다 . 이 것 은 체 계 가 재 시 
동하는것처럼 보여도 비루스는 기억기상에서 그냥 동작하게 한다. 


암호화 

비루스제 작자들은 암호화의 쓸모를 홀시 하지 않는다. 암호화는 비루스작성 자들이 
징 후체 계호출과 프로그람안의 본문렬 을 숨길수 있게 한다. 비 루스 코드를 암호화하여 
비루스작성자들은 비루스의 검사가 훨씬 더 힘들어 지게 한다. 

그런데 많은 비루스들이 단순한 형태의 암호화를 리용하고 모든 비루스코드에 갈은 
열쇠 를 리용하기때 문에 검 사는 불가능하지 않다. 이 것은 정 확한 비 루스코드를 내 보내 기 
는 힘 들지 만 복호화된 렬 은 모든 파일 들에 서 같다는것 을 의 미한다. 만일 복호화열 쇠 가 
깨여 지면 이것은 모든 형태의 비루스들을 검사하는데 리용될것이다. 복호화열쇠가 깨여 
지 지 않는다고 해 도 암호문렬 은 반비 루스프로그람이 비 루스검 사에 리용할수 있는 징 후자 
료로 된다. 

암호화된 비루스들을 검출하는 이 방법의 효과성은 암호화된 결과에 의존한다. 그런 
데 반비 루스프로그람은 자기 가 암호화된 정 보를 찾는지 아니 면 평문정 보를 찾는지 모른 
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다. 만일 암호문렬이 코드의 어떤 형태를 닮았다면 반비루스프로그람은 감염된 파일과 
감염되지 않은 파일을 갈라 보기 힘들것이다. 

다형성돌연변이 

다형성돌연변이비루스는 파일이 감염될 때 비루스흔적을 변화시키는 능력을 가지고 
있다. 많은 비루스스캐너는 징후자료코드를 찾아서 비루스를 검사한다. 

다형성돌연변이 비루스는 감염될 때마다 자기의 형 태를 변화시키 기때 문에 검 사하기 가 
매우 힘들다. 

다형성돌연변이비루스를 만드는 한가지 방법은 여러가지 복호화방법을 가진 암호화 
도식을 리용하는것이다. 임의의 비루스에서는 이 복호화방법들중에서 하나만을 쓴다. 반 
비루스스캐너는 복호화방법들을 모두 알고 있지 못하는 이상 비루스의 모든 형태를 검출 
할수 없다. 

비루스가 암호화과정에 우연열쇠나 렬을 리용할 때 이것은 거의 불가능하다. 실례로 
많은 비루스들은 사용되지 않는 코드들을 가지고 있는데 그것들은 암호화가 되기전에 비 
루스의 능력에는 영향을 주지 않으면서 그 비루스안의 임의의 위치에 있을수 있다. 이 
과정에 만들어 진 암호렬은 그 코드렬이 변하는것으로 하여 매 비루스생성에 따라 달라 
질것이 다. 

다형성비루스를 만드는 가장 효과적인 방법은 돌연변이엔진이라고 하는 대상모둘안 
에 걸개 ( hook ) 를 포함시 키 는것 이 다. 이 엔진은 모둘화되 였기 때 문에 임의 의 비 루스코드에 
쉽게 붙일수 있다. 돌연변이엔진은 우연수발생기를 가지고 있어 암호문렬을 더욱 복잡하 
게 만들수 있다. 

우연수발생기가 쓰인것으로 하여 출구된 암호문은 가늠하기 힘들며 파일이 감염될 
때마다 바권다. 이것은 비루스검사를 거의 불가능하게 한다. 

폭 탄 

이제 는 비 루스가 성 과적 으로 복제되 고 검 사도 피 하였 다. 이 때 다음과 같은 문제 가 
제기된다. 《다음에 비루스는 무엇을 하는가?》대부분의 비루스는 특정의 사건을 기다 
리도록 설계되였다. 이것은 지정된 날자나 감염된 파일의 지정된 개수 지어 미리 정의된 
활동의 개시 등 거의 모든것이 될수 있다. 

이러한 사건이 일어 나면 비루스의 진짜 목적이 나타난다. 그것은 콤퓨터의 고성기 
로 흘러 나오는 친절한 말일수도 있고 하드디스크에 보관된 모든 정보를 지워 버리는 파 
괴적 인것 일수도 있 다. 

대부분의 폭탄들은 현재의 DOS 나 Windows 환경 에서 조작체 계와 그것들이 돌리는 프 
로그람들사이를 명백 히 분리하지 않고 있는것으로 하여 해독적 인 작용을 할수 있다. 

비루 스는 낮은 준위의 기능들에 직접 접근할수 있는데 이것은 조작체계가 응용프로 
그람들의 기능한계를 엄격히 제한하지 않고 있는데로부터 가능하다. 

실례 로 DOS 와 Windows 응용프로그람은 직 접 기 억기를 지적하거 나 중단표에 접근할 
수 있다. 이것은 응용프로그람이 조작체계 가 지원하는 기능을 리용하지 않고 응용프로그 
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탐이 직접 그러한 기능을 수행하게 함으로써 그것의 성능을 높일수는 있지만 비루스가 
스텔스를 리용할수 있게 하는 기능을 제공하는것으로도 된다. 

그러나 폭탄이 할수 있는 일에는 한계가 있다. 폭탄은 콤퓨터를 사용할수 없게 만들 
수는 있지만 콤퓨터의 임의의 요소들에 물리적손상을 줄수는 없다. 

이것은 최악의 경우에 콤퓨터상의 모든 자료를 완전히 지워 버리고 처음부터 시작하 
면 된다는것을 의미한다. 적어도 하드웨어는 그대로 남아 있으므로 비루스만 제거하면 
된 다. 

속이기 

때로 사회적속임비루스타고도 하는 속임은 실제적인것처럼 피해를 준다. 사회적속임 
비루스는 그것이 콤퓨터가 아니라 감염시키려는 사람에 의거한다는것을 내놓고는 보통의 
비루스와 류사하다. 

사회 적 속임 비 루스의 한가지 실 례 는 여 러 해 동안 인 터 네 트에 퍼 져 있 던 Good Times 
속임 비 루스이 다. 

이 전자우편통보문은 위험한 비루스가 전자우편을 통하여 퍼지 고 있다는것을 방송하 
며 를퓨터의 모든 파일들을 지워 버릴수 있는 능력을 가진다. 이 통보문는 지어 그 비루 
스의 존재 가 AOL (비 루스에서 세 계적권위 자라고 알려 져 있는)에 의해 확인되 였 다고 주 
장한다. 

자기 동료들이 이 비 루스에 의해 공격 당했을수 있 다고 생 각하는 사람들은 이 때 자 
기 주소책에 있는 모든 사람들에게 이 속임수를 보내게 된다. 

어 떻게 사회 적속임비루스를 진짜비 루스로 볼수 있겠는가? 

복제 이 비루스들은 좋은 의도에서 다른 사람의 체계에 자기의것을 복제해 놓 
는 사람의 습관에 기초하고 있다. 사람들은 습관상 비루스에 대한 경고 
나 죽어 가는 어린이의 호소로 보이는 전자우편 갈은것들을 쉽게 펼쳐 
볼수 있으며 그 과정 에 다른 콤퓨터사용자들에 게 로 퍼 진다. 또한 읽 고 
있는것을 그대로 믿고 정보를 정확히 확인하려고 하지 않으므로 고의적 
이 아니지만 그 비루스를 전파하게 된다. 

잠복 위협을 숨기기 위해서 이 비루스는 보통 사용자들이 믿을수 있는 통보 
문들을 만들게 된다. 실례로 그 통보문들은 AOL , IBM , Microsoft 와 
갈은 회사들이 언급된 비루스의 존재를 확인하였다고 주장할수 있다. 

이 회사들은 보통 사용자들에게 잘 알려 진 콤퓨터관련기업들인것만큼 
통보문은 가치가 있어 보인다. 

폭탄 이것은 대부분 사람들이 보통 생각지 않는 부분이다. 

《폭탄》은 대역너비의 랑비이며 필요 없는 공포이다. 

통보문이 속임이므로 대역너비는 그것이 전파될 때마다 랑비되는것으로 
된다. 발송자가 통보문이 긴급함을 가정하였으므로 비 루스는 보통 여 러 
사람에게 발송된다. 

통보문은 보통 재난경고가 무시된다고 해도 그것을 포함하게 되므로 불필요 
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한 공포가 생기게 된다(실례로 사용자의 를퓨터가 속임비루스에 의하여 감 
염되였거나 암에 걸린 어린이가 치료비를 보장하겠다는 전자우편들을 받지 
못하여 죽었다는 등). 이러한 공포는 추가적인 스트레스와 근심을 더해 주 
게 된다. 폭탄은 이렇게 콤퓨터자원과 그 자원의 조작자(사람)에게 영향을 
미치게 된다. 

비루스스캐너는 사회적속임비루스들을 검출할수 없다. 오직 교육과 정보확인만이 이 
비루스들이 퍼지는것을 막을수 있다. 


죽 __°1 

사회적 속임 비루스의 놀라운 원천은 WWW. Vmyths.com 에 위치한 Computer 비루 
스 Myths 홈페 지 이 다 . 


웜 


콤퓨터월 은 상시 적 인 망접 근 혹은 전화접 근으로서 자기 자체 를 복제할수 있 는 프로그 
람이 다. 콤퓨터 하드디 스크나 파일 체 계 에 숨어 있는 비 루스와 달리 월 은 자체 유지 ( self - 
supporting ) 프로그람이 다. 전형 적 인 웜 ( Worms ) 은 능동기 억 기 에서 자기 자체 를 복제 하는 기 
능만 가지며 디스크에 자기자체를 쓰지 않는다. 

월 에는 2가지 종류가 있다. 첫번째 종류는 단 하나의 콤퓨터 에서 동작하는것 이 있 
는데 이것은 전형적인 응용프로그람과 비숫하다. 이월은 다른 체계에 자기를 복제하 
거 나 정 보를 중계 하기 위하여 체 계의 망련결을 통신통로로 리용한다. 웜 의 종류에 따 
라서 새 로운 호스트에 로 복제될 때 원래체계 에 자기 자체 를 복제해 둘수도 있고 그렇 
지 않을수도 있다. 

두번째 종류는 망련결을 신경체계로 리용하여 여러개의 체계에서 서로 다른 코드토 
막들이 돌아 가게 할수 있다. 이 모든 토막들의 활동을 조정 하는 중심마디 (〈〈뇌 수》의 
한 종류)가 있는데 이 웜을 Octopus 라고 한다. 


죽 __- 

월이라는 말은 1975년에 John Brunner 가 창작한 소설 《Shock wave Rider ) 
로부터 유래되 였 다. 소설의 주인공은 독재 정 부의 를퓨터망을 파괴 하기 위하여 
《 tapeworm 》 이라는 프로그람을 리용한다. 이 프로그람은 정부의 권력기관을 
흔들어 놓고 그의 영 향하에 있 던 사람들을 해 방시 켰다. 이 소설 이 발표되 기전 
에는 이러한 프로그람을 서술한 일반적인 이름이 없었다. 


Vampire 원 

월이 항상 나쁜것으로만 간주되였던것은 아니다. 1980년대에 Xerox 회사의 John 
shock 와 Jon Hepps 는 어떻 게 하면 유익 한 웜 을 만들수 있겠는가에 대 하여 연구하였 
다. 연구결과 그들은 수많은 월프로그람들을 만들어서 이 것을 Xerox 망의 관리 에 리용 
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하였다. 

가장 효과적 인것은 Vampire 웜이 였다. 이 월은 체계 가 만가동하는 낮에는 휴식하 
고 밤이 되 면 놀고 있는 CPU 시 간을 리용하여 복잡하고 집 약적 인 과제 들을 처 리하였 
다. 다음날 아침 에 월 은 자기 의 일 을 기 억 시키 고 다시 잠든다. 

Vampire 윙 은 매 우 효과적 이 였 지 만 콤퓨터 체 계 를 파괴 하군 하였 다. 체 계 가 재 시 동될 
때 그것들은 월 에 의하여 파괴되 였 다. 이 로 하여 웜들은 모든 망체 계들로부터 제거되게 
되였다. 

큰 인터네트원 

1988년 11월 3일 에 큰 인 터네 트웜 이 발견되 였 다. 6시 간도 못되 는 사이 에 이 99행 짜 
리 프로그람은 인 터네 트에 련결된 6000개 의 Sun 과 VAX 체 계 들을 못 쓰게 만들었 다. 

이 프로그람은 그 시기 국가의 가장 높은 급의 보안전문가의 아들이였던 Robert 
Morris 에 의 하여 만들어 졌 다. 월 을 고의 적 으로 악한 마음을 먹 고 만들지 는 않았지 만 아 
들의 이러한 행동은 아버지의 영상을 흐려 놓았다. 이 프로그람은 의도적으로 파괴기능 
을 수행하지는 않는다. 월 이 하는 일은 자기 가 맞다드는 매 기 계의 배 경 에서 동작하는 
작은 프로쎄 스를 시 동시키 는것 이 다. 이 실험 은 하나의 작은 프로그람고장이 아니 였 다면 
아마 주목되지 않았을것이였다. 하나의 호스트를 감염시키기 전에 월은 그 체계가 이미 
감염되 였는가를 검 사하지 않는다. 이것 으로 하여 체 계 들이 다중으로 감염 되 였 다. 하나의 
웜은 그리 크지 않은 처리기부하를 가지지만 수십,수백개의 웜들이 돌게 되면 체계는 자 
기의 기능을 못하게 된다. 

관리자는 자신이 전투에서 패했다는것을 알았다. 체계를 청소하고 재시동하여도 그 
것은 다시 빨리 감염되였다. 그 월들이 하나의 체계로부터 다른 체계로 움직일 때 
SendMail 취 약성 을 리 용하고 있었 다는것 이 알려 지 자 많은 관리 자들은 인터 네 트련결을 끊 
거 나 또는 자기들의 우편체계를 차단해 버 렸다. 

이것 은 오히 려 더 불리하였다. 왜 냐하면 이 렇게 하면 감염 을 막는 정 보를 포함한 웜 
에 대 한 모든 새 로운 정보들로부터 그 싸이트를 격 리시 키 기때 문이 다. 이 사건들로부터 
시 작된 모든 혼돈상태들에 의해서 많은 좋은것들도 제 기되 였다. 체 계의 취 약성 에 대 한 
사람들의 생각을 변경시키기 위하여 이러한 이야기를 써먹기도 하였다. 그때 이러한 취 
약성 들聲 그저 작은 결 함으로 간주되 였 다. 결국 이 사건으로 하여 콤퓨터관련보안문제 들 
을 기록하고 방조 하는 조직인 공퓨터 긴급응답기 구 (Computer Emergency Response 
Team ( CERT )) 가 출현하게 되였다. 

WANK 원 

인 터네 트웜 이 잘 알려 져 있기 는 하지 만 그것 이 가장 나른 웜 은 아니 다. 1989년 10 
월 WANK (Worms Against Nuclear Killers ) 웜이 믿을만한 체계상에 출현하였다. 이 월 
은 강한 파괴 력 을 가지 나 DEC 체 계 와 DECnet 규약을 리 용하는 체 계 만을 감염 시 킨다. 이 
월의 파괴 작용은 다음과 갈다. 

• 리용하는 가입등록이름과 통과암호를 통하여 어느 체계에 침투하였는가를 알 
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리는 전자우편을(대체로 월의 제 작자에 게) 보낸다 

• 현존 구좌의 통과암호를 변경시킨다 

• 체계에로 들어 가는 보충적인 함정문접근을 남긴다 

• 우연적인 마디우의 사용자들을 발견하고 그들에게 전화설비를 리용하여 전화 
를 건다 

• 국부 COM 파일들을 감염시켜 월 을 체 계 에서 지 운다고 해도 후에 재 시동할수 
있게 한다 

• 체계가 〈〈 WANKed 》 되였다는것을 보여 주는 알림기발을 변화시킨다 

• 가입스크립 트를 수정하여 모든 사용자파일들이 지 워 진것 처 럼 나타나게 한다 

• 가입등록후에 사용자파일 들을 숨김 으로써 사용자가 파일 들이 지 워 졌 다고 생 
각하게 한다 


우에서도 알수 있는바와 같이 이 비루스는 파괴력이 세다. 

감염 된 체 계 로부터 이 월 을 성 과적 으로 제 거하려 면 오랜 시 간이 걸린 다. 

IRC 원 

오늘날 보다 일반적인 형태의 적대적인 웜은 mC(Internet Relay Chat ) 월이다. 이 월 
들은 nJRC 통신쏘프트웨어 를 리용하는 모든 사용자들에 게 영 향을 준다. 사용자가 특정한 
me 통로를 리용하면 이 웜은 사용자의 체계를 감염시킨다. 그다음 가만히 숨어서 me 통 
로관계 자들이 알고 있는 열쇠단어 를 보내 기 를 기 다린다. 

매 열쇠단어는 어떤 형태의 특정한 작용을 유도해 내도록 설계되였다. 실례로 한 열 
쇠단어 는 UNIX 를 돌리 는 대 상에 대 하여 설계되 였 다. 

열 쇠단어 가 지 나가면 웜 은 국부 통과암호파일 의 복제 를 ( itJRC 의 DCC 지 령 을 리용하 
여) 그 지령을 보낸 IRC 사용자에게 보낸다. 

또 하나의 열쇠 단어 는 Windows 95/98 사용자용으로 설계 되 였는데 그것 은 등록고의 
하나의 복제를 전송한다. 또 다른 하나의 열쇠단어는 그 지 령을 보낸 사람에게 모든 감 
염된 체계들의 국부하드구동기에 대한 완전한 읽기 및 쓰기허가를 준다. 

마크로원 

마크로비 루스와 류사하게 마크로웜들은 자기 의 실 행환경 으로써 VBA 와 Microsoft 응 
용프로그람들을 리 용한다. 마크로웜 은 Outlook 또는 Outlook Express 에 기 억된 매 전자우 
편주소에 불쾌감을 주지 않는(그러나 호소적인) 이름으로 자기의 복제를 전송한다. 이 
윙은 사회적심리에 의존하며 (실례로 《I Love You 》 와 같은 이름으로) 그 웜을 실행할 
수신자를 끌어 들이 기 위하여 Outlook 의 기정의 구성(파일 이름의 확장자를 숨기 는)에 의 
존한다. 이러한 월들의 성과로 하여 (일명 I Love You 월을 포함) 일부 프로그람제작자 
들은 월 이 아니 라 비 루스에 가까운 혼성프로그람을 만들어서 파일들을 지 우고 조작체 계 
가 제대로 동작할수 없게 만든다. 
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트로이목마 


트로이목마는 이름이 보여 주는것처럼 불쾌하지 않거나 또는 훌륭한 패키지안에 
어떤 나쁜 놀라운것을 숨겨 놓는 응용프로그람그람이다. 그 놀라운것이 란 트로이목마 
의 작성 자가 만들어 놓는 프로쎄스 또는 함수인데 그것들은 사용자가 알지 못하는 그 
리고 좋아하지 않는 그러한 기능을 수행한다. 응용프로그람을 숨기는것 이 바로 트로이 
목마이 다. 

트로이목마는 왜 비루스가 아닌가 

트로이목마는 복제되거나 자체로 다른 파일들에 붙지 않는다는 점에서 비루스와 
다르다. 트로이목마는 자기의 원래의 원천코드안에 폭탄을 가지고 있는 독립적인 응용 
프로그람이다. 그것은 또 하나의 응용프로그람의 효과에 의하여 악의적 인것으로는 되 
지 않 는다. 

실례 로 현존하는 망응용프로그람들을 교체 하기 위하여 만들어 진 많은 UNIX 트로이 
목마들이 있다. 공격자는 telnet 봉사기프로쎄스 (telnetd) 를 자기가 만든것으로 바꾸어 놓을 
수 있다. 이 프로그람은 표준 telnetd 프로그람과 꼭같이 동작하지만 그 체계에서 인증되는 
모든 가입 등록이 름들과 통과암호들을 기 록한다. 반대 로 공격 자는 telnet 의 뢰 기응용프로그 
탐을 교체하여 원격체계에 대한 구좌정보들을 엄을수 있다. 이렇게 되면 그는 망의 매 
봉사기에 체계적으로 침투할수 있게 된다. 

공격 자는 또한 파괴의 목적 에서도 트로이목마를 설계한다. 

실례로 1997 년 4 월에 많은 사람들이 AOL4FREE.COM 트로이목마의 피해를 입었다. 
사용자들은 A0L 우에서 무효로 리용할수 있는 파일을 찾았다고 생 각하고 그것 을 체 계의 
국부하드구동기에 받아 들였다. 그런데 프로그람이 태워 지자마자 C 구동기에 있는 모든 
파일들을 지웠다. 

트로이 목마들의 가장 성 공적 인(일 반적 인) 공격 목표는 Windows 95/98 또는 Windows 
NT/2000 의 전화련결망을 리용하는 사용자들이다. 이 트로이목마들은 사용자들을 유혹할 
수 있는 많은 편의프로그람들을 가지 고 있 다. 만일 그것 을 설 치하면 트로이 목마는 사용 
자의 전화번호책을 살살이 뒤져 보고 Windows 전화련결망의 캐쉬의 복제본을 알아 낸 
다. 다음 Windows API 의 호출을 리용하여 이 정보들을 트로이목마의 제작자에게 전자우 
편으로 보낸 다 . 공격 자는 국부체 계접 근과 함께 다른 체 계 들을 공격하는데 리용할수 있 
는 정 당한 ISP 구좌정 보를 얻는다. 

바로 내가 트로이목마를 구입하였는가 

물론 모든 트로이 목마들이 다 진짜 공격 자들에 의하여 만들어 지 는것 이 아니 다. 
실례 로 일부 사용자들은 자기 가 Microsoft 망을 리용할 때 그 쏘프트웨 어 가 체 계하드웨 
어와 쏘프트웨 어의 완전 한 목록을 만든것을 보고 놀란다. 여기에는 Microsoft 의것과 
경 쟁 자의 제 품들도 포함되 여 있다. 사용자가 그 망에 련결 할 때 이 정 보가 자동적으 
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로 Microsoft 에 전송되게 된 다. Microsoft 는 기술적 리 용만을 위 하여 이러한 정보들을 
수집 하고 있다고 주장하지만 많은 사람들은 그것 이 명백한 개 인비밀의 침해 로 여기 고 
있 다. 

회사들에서 사용자의 보안상태를 침해하는 기능을 추가하는 경우가 많다. 실례로 
1998년 5월 3 COM 에서 다른 많은 망하드웨 어 회사들과 마찬가지 로 자기의 교환기와 경로 
기제품들에로의 접근을 위한《뒤문》구좌를 가지고 있다는것이 공개되였다. 이러한 문 
서화되지 않은 구좌들은 말단 사용자들에게 보이지 않으며 지워 지거나 무효로 만들수 
없다. 

제 작자는 기술적 인 리유로 이 런 《뒤문》을 만들었 다고 주장하지 만 이것은 제 품의 
영상을 흐리게 하고 관리자들을 신용할수 없게 한다. 

이러한 활동들은 기술적유지와 트로이목마사이의 흐린 구역에 존재한다. 이러한 문 
서 화되지 않은《뒤문》이 이 름난 회 사들에 의하여 만들어 지지 만 이 것들은 보안을 약화 
시키며 고객들로 하여 금 잠재 적 인 손실에 대 하여 알지 못하게 한다. 

명백히 《뒤문》접근은 많은 관리자들이 금지하려고 하는것이지만 그들은 우선 그것 
이 존재한다는것부터 알아야 한다. 


방 지 방 법 

이러한 나쁜프로그람들에 대하여 무엇을 할수 있는가? 나쁜프로그람을 알아 내는 확 
고한 방법은 능력 있는 프로그람작성자가 원천 코드를 검사해 보는것이다. 대부분의 응용 
프로그람들이 이미 실행방식으로 되여 있으므로 체계우의 매 파일을 한걸음씩 조사하여 
야 한다. 그런데 이것은 많은 시간과 비용을 요구한다. 

이런것을 생각해 볼 때 임의의 다른 예방대책들의 효과성은 적다. 정확히 얼마나 많 
은 보안이 자기에게 필요한가를 결정하기 위하여서는 위험을 분석해 보아야 한다. 감염 
을 막기 위한 여러가지 기술들이 있다. 이 매개는 우점과 함께 약점도 가지고 있기때문 
에 세가지 또는 그 이상의 기술들을 결합하는것이 가장 좋다. 

접근조종 

접 근조종방책 을 확립하는것 은 좋은 보안대 책뿐아니 라 나쁜프로그람들의 전파를 막게 
한다. 접근조종을 감염된 프로그람에 의하여 쉽게 변화될수 있는 파일속성(읽기전용 또 
는 체 계파일 등)과 혼돈하지 말아야 한다. 진짜접 근은 체 계 관리 자로 하여 금 사용자-사용 
자준위 에 서 파일허 가준위 를 설정하게 하는 다중사용자조작체 계 를 통하여 관리되 여 야 한 
다. 

접근조종은 나른프로그람의 존재를 검출하거나 지우지 못한다. 이것은 체계의 감염 
을 막을수 있게 도와 주는 한가지 방법에 불과하다. 실례로 대부분의 비루스들은 감염된 
기계 에 의하여 모든 파일들에 대 한 완전한 접근을 가진다 (Windows NT 에서의 기정의 
허가와 갈은). 

유능한 관리자들은 이러한 기정의 허가들을 변경시켜 사용자들이 자기들의 실행가능 
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한 프로그람들에 대하여 읽기권한만을 가지도록 하여 비루스가 파일들을 감염시킬수 없 
게 한다. 


죽__°1 

그런데 이것은 모든 실행파일에 대하여 다 동작하지는 않는다. 일부는 실행기 
간에만 자기자체를 수정할것을 요구한다. 사용자들은 이 실행파일들에서의 쓰 
기접근을 요구하며 관리자는 시간과 자료표가 규칙적으로 변화될것을 기대할 
수 있다. 어느 실행파일이 쓰기접근을 요구하는지 어떻게 아는가? 보통 모 
른다. 어느 실행파일이 자기의 날자와 시간표를 변경시키며 쓰기접근이 제공 
되지 않을 때 깨여 지는가 하는것은 시행착오적문제이다. 그런데 이러한 자 
체쓰기실행파일들은 드물다. 이러한것들을 자주 실행시키지 말아야 한다. 

검열함확인 

검열합 또는 순환여유검사 ( CRC ) 는 파일자료의 수학적인 검사이다. 이것은 파일의 
내 용을 수량으로 표시한다. 파일 에 서 자료의 한 바이 트가 변 하면 파일 의 크기 가 변 하지 
않았다고 해도 검열합값이 변한다. 먼저 감염되지 않은 체계의 기준값이 만들어 진다. 
그다음 파일의 변화를 감시 하기 위하여 CRC 가 규칙적 인 주기 로 수행된다. 

이 방법에는 두가지 약점이 있다. 첫째로， CRC 가 파일의 감염을 정확히 검사할수 
없다는것 이 다. 이것은 자체쓰기실행파일들이 규칙적 으로 검 열합확인을 진행할수 없다는 
것 을 의 미한다. 또한 변화가 정 확히 비 루스에 의한것 이 라고 하더 라도 CRC 는 파일 은 청 
소할수 없다. 둘째로, 많은 비루스들이 CRC 로서 파일의 정보가 변하였다는것을 알수 없 
게 작성한다는것이다. 


일러두기 

CRC 가 비루스를 검사하는 가장 효과적인 방법은 아니지만 트로이목마의 교 
체 를 발견하는데서 큰 도움을 줄수 있다. 현존의 인증봉사 (telnet 또는 FTP 의 
퇴기 그리고 봉사기쏘프트웨어와 같은)를 교체하도록 설계된 트로이목마는 현 
존의 파일들을 변경하는것 이 아니 라 그것 들을 교체한다. 


이 파일 교체 는 검 열 합확인에 의하여 나타난다. 그런데 비 루스스캐 너 는 이 문제 를 완 
전히 놓치고 파일이 임의의 비루스 코드를 포함하지 않고 있다고 통보한다. 이것은 트로 
이목마를 인증하는데서 CRC 가 훨씬 효과적이라는것을 말해 준다. 

과정감시 

나른프로그람이 체계에 침습하는것을 막는 방법에는 과정감시도 있다. 과정감시는 
여 러 가지 체 계활동을 관찰하고 수상하다고 보이 는 모든것을 차단한다. 실례 로 대부분 
현대콤퓨터 들의 BIOS 는 반비 루스설정 을 포함하고 있다. 
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이 설정은 콤퓨터가 1차기동레코드에로의 모든 쓰기시도를 차단할수 있게 한다. 만 
일 기 동분구비 루스가 이 구역 에 자기 자체 를 복제하려 고 하면 BIOS 는 그 요구를 차단하 
고 사용자의 접근을 요구한다. 

여기에는 또한 몇가지 문제가 있다. 첫번째 문제는 비루스가 보통 프로그람들과 비 
슷한 속성 들도 가지 고 있 다는것 이 다. 즉 이 두개 를 구별해 보는것 이 매 우 어 려울수 있 
다. 실례 로 FDISK 를 실행 하면 BIOS 비 루스통보를 내 보낸다. FDISK 가 비 루스가 아니 라 
고 해도 그것의 활동이 수상하기때문에 경고를 내보낸다. 이것은 틀린 긍정이라고 하는 
데 BIOS 는 사실은 비루스가 아니지만 비루스를 검사했다고 생각한다. 

두번째 는 과정감시 에 관한 문제 즉 사용자간섭 과 숙련을 요구한다는것 이 다. 실례 로 
틀린 긍정을 받은 사용자는 콤퓨터에 완전히 정통하여 진짜비루스가 실제로 검출되지 않 
았고 FDKK 의 정 상적 인 동작이 경 보를 발생시 켰 다는것 을 알수 있 어 야 한다. 

그러나 FDISK 가 기억된 풀로피디스크우에 기동분구비루스가 있을수 있다. 이것은 
사용자가 정확히 비루스가 있을 때 틀린 긍정이 통보된다고 가정할수 있게 한다. 이것은 
검사과정의 서로 다른 점에서 BIOS 비루스경보를 내지만 ( FDISK 가 끝날 때가 아니라 적 
재될 때) 말단사용자는 이 비루스문제를 정확히 식별할수 있으리만큼 높은 수준의 숙련 
이 있어 야 한다. 

비루스와 보통 프로그람을 구별하는 문제는 다른 형태의 동작을 관리하려고 할 때 
보다 중요한 문제 로 제 기 된다. 파일지우기 가 의 심스러 운것 으로 간주되 는가 ? 파일관리프 
로그람이 파일들을 지울 때마다 틀린 긍정들을 발생시킨다. 파일변화와 기 억기변경 등을 
관리하려 고 할 때 에도 같은 현상이 일어 난다. 

이러한 활동들은 모두 비루스에 의하여 수행될수도 있고 보통 응용프로그람에 의하 
여 수행될수도 있다. 

유일하게 쓸모 있는 과정감시 는 앞에서 언급된 BIOS 비 루스경 고이 다. 사실상 틀린 
긍정경 고가 생길 때 사용자가 FDISK 나 또는 합법 적 으로 기 동분구에 쓰기 를 시 도하는 
다른 응용프로그람을 실행하고 있는 경우는 매우 드물다. 

이러한 현상은 사용자가 새로운 조작체계를 설치할 때 생긴다. 이것은 틀린 긍정의 
발생 이 최 소로 될 수 있 다는것 을 의미 한다. 

비루스스캐너 

비 루스를 검 사하는 가장 일 반적 인 방법 은 비 루스스캐 너쏘프트웨어 를 리용하는것 이 
다. 비 루스스캐 너 는 감염 된 파일 에 들어 있는 비 루스를 확정 하기 위하여 증거파일들을 
리용한다. 증거파일 은 모든 알려 진 비 루스와 그것 의 특별 한 속성 들을 기 록한 자료기 지 
이다. 이 속성들은 매 비루스코드의 실례와 그 비루스들이 감염시키는 파일의 형태 그리 
고 비루스를 찾는데 도움을 줄수 있는 임의의 다른 정보들을 포함한다. 이러한 정보가 
들어 있는 여 러 가지 파일들을 리 용하여 이 쏘프트웨어 를 계 속 갱 신함으로써 가장 최 근의 
비루스들도 검출할수 있다. 그러나 전체 프로그람을 갱신하지는 말아야 한다. 이것은 매 
달 많은 새 비루스들이 검사되기때문에 여전히 쓸모 있다. 

비루스스캐 너 가 파일을 검 사하면 파일의 임의의 코드가 증거파일의 임의의 부분과 
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같은가 본다. 갈은것이 있으면 사용자는 비루스가 검출되였다는것을 알수 있다. 그다음 
에 대부분의 스캐너들은 비루스를 청소하는 특별한 처리를 진행할수 있다. 

비루스스캐너의 가장 큰 약점은 알려 진 비루스들만을 검출할수 있다는것이다. 새로 
만들어 진 비루스에 대하여 실행시키면 스캐너는 그것을 놓칠수 있다. 이것은 다형성문 
제를 취급할 때 특별히 곤난한 문제로 된다. 이 장의 《다형성돌연변이》에서 언급한바 
와 같이 다형성비루스들은 자기의 흔적을 매 감염때마다 변화시킬수 있다. 이러한 형태 
의 비 루스에 100% 효과적 인 비 루스스캐 너 로 되 자면 모든 가능한 다형 성 치 환을 기 록한 
증거파일이 있어야 한다. 하나의 치환을 놓쳐도 비루스스캐너는 감염된 파일을 제거하지 
못할수 있으며 비루스는 다시금 체계를 감염시킬수 있다. 


일러두기 

비루스스캐너를 선택할 때 여러가지 많은 비루스들을 검사할수 있을뿐아니라 
많은 다형성비루스들도 검사할수 있는가를 보아야 한다. 


압축되거나 암호화된 파일들도 비루스스캐너에 문제를 일으킬수 있다. 이러한 처 
리들이 정보를 재배치하기때문에 비루스스캐너는 파일에 숨어 있는 비루스를 검사할수 
없다. 

실례 로 PKZIP 를 리용하여 많은 파일들을 압축하여 플로피 디스크에 넣는다고 하자. 
비 루스스캐 너 를 리용하여 디 스크를 검 사할 때 비 루스를 포함한 파일 들은 검 사되 지 않는 
다. 비 루스스캐 너 가 ZIP 파일 형 식 을 리해하지 못하는 한(많은 경 우 그러하다. ) 파일 에 숨 
겨 져 있는 비루스를 검사할수 없다. 

암호화된 파일에 대하여서는 이러한 문제가 더 심각해 진다. 

비루스스캐너는 암호화된 파일을 복호화할수 없기때문에 많은 비루스들을 놓칠수 있 
다. 비 루스가 없 다는것 을 확인하자면 파일 을 먼저 복호화하고 비 루스스캔을 실 행하여 야 
한다. 

비루스스카(너의 변종들 

비루스스캐너에는 크게 두가지 종류가 있다. 


• 요구형 

• 기억기상주형 

요구형스캐너들은 어떤 수동적인 또는 자동적인 처리에 의해 시동되여야 한다. 요구 
형스캐너가 동작하면 전체 구동기나 체계에서 비루스를 찾는다. 이것은 RAM 기억기와 
하드구동기，플로피 디스크와 갈은 기 억 장치 들을 포함한다. 기 억상주형스캐 너들은 체 계의 
배 경 에서 동작하는 프로그람들이다. 이것들은 보통 체계의 기동시 에 초기화되 여 계속 능 
동으로 남아 있는다. 파일 이 접 근할 때 마다 기 억 기 상주형스캐 너 는 파일 호출을 차단하고 
파일 을 기 억 기 에 태 우기전에 비 루스가 없는가 검 사한다. 

이 방법 들은 자기 의 우점 과 약점 을 가지 고 있다. 요구형스캐 너 들은 사건이 제 기된 
후에 야 동작하게 된다. 임의 의 파일 에 접근하기전에 스캐 너 를 항상 기동하지 않으면 체 
계 는 검 출전에 비 루스와 맞다들게 된다. 기 억기상주형비루스스캐 너 는 비루스가 체 계를 
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감염시키기전에 비루스를 잡아 내지만 비용이 든다. 매 파일을 주사하면 체계의 파일접 
근속도를 낮추며 체계의 응답속도를 떨군다. 

기 억 기상주형 비루스스캐 너의 제 작자들은 파일접 근속도가 중요하며 많은 사용자들 
이 큰 부하가 걸리는 스캐너보다는 좀 기능이 낮은 스캐너를 요구한다는것을 알고 있 
다. 이러한 리유로 하여 많은 기억기상주형스캐너들은 요구형스캐너만큼 기능이 충분 
하지 못하다. 

더 좋기는 제일 많이 발생하는 비루 스증 거들을 검출하거나 제일 감염 받기 쉬운 
( COM 파일과 같은) 파일들을 주사하는것이다. 


일러두기 

좋은 보안형 래 는 요구형 과 기 억 기 상주형 비 루스스캐 너 를 다같이 리 용하는것 
이 다. 


큰 환경에서의 문제들 

모든 비 루스스캐 너 들은 주기 적 으로 증거파일들을 갱 신하여 자기 들의 제 품이 가능한 
껏 많은 알려 진 비 루스들을 검 사할수 있게 한다. 증거파일 들을 갱 신하는것 은 큰 망환경 
을 책임진 체계관리자들에게 부담을 준다. 만일 DOS 나 Windows , Macintosh 조작체계를 
탁상용콤퓨터 에서 실행 한다면 매 체계우에서 증거파일을 갱 신하여 야 한다. 

많은 제작자들은 이 문제를 수정하기로 하였다. 실례로 Intel 회사의 LANDesk Virus 
Protect 는 여 러개의 봉사기 들과 탁상용콤퓨터 들을 그룹화하기 위하여 비 루스령역 이 라는 
개념을 리용한다. 망관리자는 그다음 증거파일들을 갱신하고 경고들을 감시하며 조종화 
면으로부터 파라메터들을 조종한다. 이렇게 하면 큰 규모의 환경 에서 비루스보호에 필요 
한 작업 량을 크게 줄일수 있 다. 

유연한 비루스보호방법은 전반적인 비용을 줄일뿐아니라 환경을 안전하게 한다. 언 
급한바와 같이 비루스스캐너제작자들은 주기적으로 증거파일들을 갱신한다 . 그러나 이러 
한 증거파일들은 적 게 쓰이거 나 설 치 되지 않는다. 

한가지 유연한 방법 은 이 증거파일 들을 요구하는 모든 체 계 들에 배 포하는것 이 다. 

발견적스캐너 

발견적스캐너들은 하나의 파일이 비루스로 볼수 있는 프로그람 코드를 포함할 가능성 
을 결 정 하기 위하여 통계 적 인 분석 을 진행한다. 

발견적스캐 너 는 비 루스스캐 너 와 같이 코드를 증거파일 과 비 교하지 않으며 등급체 
계 를 리용하여 분석 되 는 프로그람코드가 비 루스일 확률을 결 정한다. 만일 확률이 크면 
발견적스캐 너 는 사용자에 게 비 루스가 검 출되 였 다는것 을 알린 다. 대 부분의 현대 적 인 비 
루스스캐 너 들은 발견적스캐 너능력 을 가지 고 있다. 

발견적스캐 너 의 가장 큰 우점 의 하나는 갱 신을 요구하지 않는다는것 이 다. 파일 들 
이 체계에서 등급이 매겨 져 있기때문에 증거파일들은 비교를 요구하지 않는다. 이것 
은 발견적스캐 너 가 이 전에 는 볼수 없었던 좋은 비 루스검 출기능을 가지 고 있다는것 을 
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의미 한다. 이것은 증거 파일을 규칙적 으로 갱 신할수 없는 사용자에 게 있 어서 대 단히 유 
익 하다. 

발견적스캐너의 가장 큰 약점은 틀린 긍정들을 내보낼 가능성이 있는것이다. 우에서 
언급한바와 같이 모든 비루스코드가 규칙적인 프로그람코드와 다른것은 아니다. 이것은 
둘사이를 구별하는것 이 매우 어렵 다는것을 의미한다. 체계관리 자가 만일 존재하지 않는 
비루스들을 통지 할 가능성 이 있는 낮은 급의 발견적스캐 너를 배 비 한다면 체 계성능을 떨 
굴수 있다. 

응용프로그람준우 I tl I 루스스캐 너 

응용프로그람준위 비 루스스캐 너 는 비 루스방지 의 새 로운 종류이 다. 비 루스로부터 특정 의 
체계를 보호할 대신 응용프로그람준위비루스스캐너는 특정의 봉사를 안전하게 한다. 례를 들 
면 전자우편은 파일접근을 통하여 비루스를 전파시 킨다. Trend Micro 회사는 SMTP 중계기로서 
동작할수 있는 Inter Scan VirasWaH 이 라고 하는 제품을 제작하고 있다. 들어 오는 우편을 받아 
들이 고 적 당한 우편체계 에 그것을 보낼 대신 Inter Scan VkusWall 은 우편을 내부의 우편호스트 
에 보내 기 전에 완전한 비 루스주사를 진행 한다. Inter Scan VinisWall 은 SMTP 뿐아니 라 FIP 와 
HTTP 의 자료흐름도 주사할수 있다. 이것은 원본파일들뿐만아니라 PKZIP 와 같은 많은 기록형 
식들도 포함한다. 이것은 인터네트로부터 받아 들인 모든 파일들에 적대적인 비루스들이 없 
다는것을 보증할수 있게 한다. 


일러두기 

지금 많은 회사들은 현존의 방화벽제품들과 직접 통합되는 제품들을 만들고 있다. 
례 를 들어 Cheyenne 쏘프트웨 어 회 사는 Check Point 의 방화벽 -1 제 품을 위 한 비 루스스 
캐너를 만들고 있다. 이것은 비루스주사가 망보안을 실현하는 갈은 체계우에서 관 
리될수 있게 한다. 이것은 망관리 자에 게 보안과 비루스방지 를 다같이 관리하는 하 
나의 관리점을 준다. 


비루스보안의 배비 

비루스로부터 자기의 망을 지키 기 위한 몇 가지 배비 방법 을 보기 로 하자. 


죽__°1 

이것은 하나의 지도서만을 주며 특정한 요구에 맞게 하려면 그것을 변경하여 
야 한다._ 


그림 11-1 과 갈은 망구조를 보자. 그림 은 많은 봉사기 조작체 계 를 리용하는 혼합된 
환경을 보여 준다. 탁상용콤퓨터환경도 역시 조작체계들의 혼합을 리용한다. 이러한 환 
경을 가지고 있는 조직들에 대하여 비루스나 트로이목마，원으로부터 보호할 임무가 주 
어 졌다고 하자. 또한 이러한 과제를 최소의 비용으로 수행하여야 한다고 하자. 
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망의 구조를 연구하고 어떤 권고안을 만들어야 하는가를 생각해 보시오. 


Windows 95 OOS/Windows 3.1 x NT 워크스테이션 



MT 봉사기 NetWare 봉사기 UNIX 봉사기 

그림 11-1. 비루스방지를 요구하는 망의 실례 


탁상형체계의 보호 

탁상환경 이 여 러 가지 조작체 계 들을 리용할 때 하드웨 어플래 트홈은 일 치한다 ( PC 호 
환) . 이것은 모든 탁상체 계들이 갈은 형 태의 비루스들에 감염될수 있다는것을 의미한 
다. 많은 조작체계를 리용함에도 불구하고 자기의 탁상체계를 가능한대로 표준화하기 위 
하여 노력하여 야 한다. 

가능한 BIOS 기동분구보호 

독자가 할수 있는 가장 효과적인 제의는 체계의 BIOS 를 통하여 기동분구보호를 할 
수 있는것이다. 이것은 모든 체계의 기동분구를 안전하게 하는 빠르고 효과적인 방법이 
다. 이것은 말단사용자들에 게 기동분구경 고들이 무엇 을 의 미하며 사용자들이 그것 에 어 
떻게 대답하겠는가를 교육하여 실현할수 있다. 

사용자가 자기 의 조작체 계 를 갱 신하지 않는 한 틀린 긍정경 고는 문제 로 되 지 않 
는다. 


요구형스카(너 

매 탁상체 계 는 모든 국부구동기 를 규칙 적 으로 비 루스검 사하기 위하여 구성한 요구형 
스캐 너 를 리용하여 야 한다. 

만일 탁상체계들이 밤에도 전원이 꺼지지 않을 때 이러한 검사는 밤에 진행되도록 
계 획할수 있다. 그렇 지 않으면(점 심 시 간과 같은) 고정 적 인 휴식 시 간에 또는 매 주 적 당한 
시간에 스캐너를 가동시킬수 있다. 

요구 형스캐너로 모든 국부파일들을 검사하여 비루스가 침습하지 않았거 나 또는 불명 
확한 확장자를 가진 파일을 통하여 침습하였다는것을 확인할수 있다. 물론 적당한 요구 
형스캐 너 는 발견적스캐 너능력 을 포함하여 야 한다. 

또한 모든 주사결과를 중심 위 치 에 알리는 어떤 방법 이 있어서 자료가 체 계관리 자에 
게 장악되여야 된다. 
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기억기상주형스카！ 너 

매 탁상체계들은 또한 체계초기화에서 기억기상주형스캐너를 실행하여 비루스가 국 
부파일체계에 들어 오거나 기억기에서 실행되기전에 제거하여야 한다. 어느 파일이 기억 
기상주형스캐너에 의하여 검사되였는가를 지적하고 싶을 때도 있다. 

매 탁상체계에 대하여 규칙적인 요구형스캐너를 수행하기때문에 어떤 지연이 생긴 
다. 가장 일반적인 비루스에 감염된 파일들만을 검사하여 체계성능에 주는 기억기상주형 
스캐너의 영향을 줄일수 있다. 이것이 보안자세를 약화시킬수 있으나 체계성능에서의 
리득은 그 손실을 보상할수 있다. 

기 억 기 상주형 스캐 너 는 다음과 갈은것 을 검 사하여 야 한다 . 

• 읽기전용파일 

• 월들 

• COM 과 EXE 파일 같은 실 행파일 

• Microsoft Word 나 Excel 같은 마크로가능한 문서 들 

파일읽 기들을 검 사할수 있 다. 왜 냐하면 디 스크에 씌 여 진 파일들을 검 사하는것은 과 
부하를 줄수 있기때문이다. 만일 어떤 스캐너가 파일이 기억에 읽어 질 때 비루스를 찾 
는데서 실패했다면 그 스캐너가 파일이 디스크에 써질 때 비루스를 검출한다는것은 거의 
불가능하다. 많은 월들이 정 보를 디스크에 기 억시키지 않기때 문에 요구형스캐 너 에 의해 
검사되지 않는다. 그러므로 웜들도 검사하여야 한다. 마지막으로 기억기상주형스캐너를 
리용하여 감염될 가능성 이 큰 파일들을 검사하여 야 한다. 여기 에는 실행파일뿐만아니 라 
마크로명 령 들을 기 억할수 있는 파일들도 포함될수 있 다. 

고려되지 않은 선택안 

우리는 파일속성의 설정과 검사합확인에 대하여 언급하지 않았다. 

왜냐하면 쉽게 알수 있는바와 같이 이 방법들이 많은 비루스종류들에 대하여 효과가 
없기 때 문이 다. 갈은 리유로 과정감시 의 다른 형 태 들도 취 급하지 않았다 ( BIOS 기 동분구경 
고를 제 외 하고). 가장 적 은 노력 으로 높은 준위의 방지 를 실현하여 야 한다. 

한가지 추가적 인 선택안은 사용자가 임의 의 실행파일에 쓰기접 근하는것을 막기 위 
하여 NT /2000 워 크스테 이 션의 파일허 가를 리용하는것 이 다. 이 것은 이 런 체 계 들우에서의 
비 루스감염 은 줄이 지 만 다른 탁상형 기계 들에 서 리 용된 표준구성 과는 차이난다. DOS 와 
Windows 95/98/ Me 가 실제 적 인 다중사용자조작체 계 가 아니 기때 문에 파일 체 계 의 선택된 
부분에로의 국부사용자접근을 제한할 길이 없다. 이것은 NT /2000 워크스테이션구성이 다 
른 탁상형 기계 들과 다르다는것 을 의 미한다. 

또한 이 선택안은 널 리 퍼 진 일 반적 인 비 루스인 마크로비 루스들을 취 급하지 않는 
다. 이러한 비루스들은 문서파일에 숨는다. 

이 파일들을 기억하자면 사용자들이 문서기억등록부들에 쓰기접근을 하여야 한다. 

이 러 한것을 생 각해 볼 때 이 선택안은 많은 문제 점 들을 산생 시킬수 있다. 
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NT 및 NetWare 봉사기의 보호 


NT /2000 과 NetWare 봉사기 들은 자원을 공유하기때 문에 탁상형 기계 들과 다른 보호 
방법이 필요하다. 이 체계들에서 비루스보호는 훨씬 더 중요하다. 왜냐하면 탁상형기 
계 들사이 의 비 루스전파에 리용될 수 있기때 문이 다. NT /2000 봉사기 의 경 우 전송만 되 는 
것 이 아니 라 자기 자체 를 감염시 킬수도 있다. 


요구형스 카！ 너 

탁상형 체 계 들에 서 요구형 주사를 실 행하여 밤에 모든 파일들을 주사할수 있다. 대 부 
분의 봉사기형비루스스캐 너제품들은 이 러한 목적으로부터 작성된다. 밤에 주사를 실행하 
자면 그전에 요구형스캐너가 설정되여야 한다. 이것은 모든 파일들에 비루스가 없다는것 
을 보증한다. 


기억기상주형스캔 

Windows NT 를 위하여 설계된 기 억기상주형스캐 너는 봉사기의 기 억기와 국부파일체 
계 에 기 록된 파일 들을 검 사한다. 그런 데 기 억 기 상주형 스캐 너 는 NetWare 봉사기 에 서 동작 
할 때 조금 다른 형 식 으로 동작한다. 이것 은 봉사기 가 표준실행파일들을 실행할수 없기 
때문이다. 체계가 파일기억에 리용되기때문에 기억기는 검사할 필요가 없다. 우리가 스 
캔과 관련하여 가장 관심하는것은 들어 오는 망자료흐름이 다. 

봉사기 에 기 초한 기 억 기 상주형 스캐 너 는 다음과 갈은것 을 검 사한다 . 

• 웜 들과 트로이 목마들을 위한 국부기 억 기 ( NT 에 서 만) 

• 망에 서 들어 오는 실 행파일 들 

• 망에서 들어 오는 마크로가능문서들 

탁상형 기계 들에서처 럼 성 능을 개 선하기 위하여 최 소의 파일검 사가 진행된다. 그외 에 
비 루스가 들어 오는것 은 밤마다 요구형비 루스주사를 실 행하여 잡는다. 


일러두기 

서 로 다른 회 사들의 제 품들을 망의 매 부분을 비 루스로부터 보호하는데 리용 
하면 일부 추가적인 리익을 얻을수 있다. 실례로 봉사기에서는 어느 한 회사 
의 제품을 쓰고 탁상형기계에서는 다른것을 리용할수 있다. 두개 회사의 증거 
파일 들이 갈지 않기때 문에 제 품들을 혼합 및 비 교하여 리용하면 비 루스방지 에 
서 최대의 효과를 얻을수 있다. 
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파일허가 

이 장에서 이미 언급한바와 같이 사용자준위의 파일허가를 설정하는것은 실행파일들 
이 감염되지 않게 한다. 이러한 형태의 리익은 망우에 어떤 응용프로그람이 있는가에 크 
게 관계된다. 만일 모든 응용프로그람들이 국부워크스테이션에 보관되여 있다면 봉사기 
에는 읽기전용사용자준위접근을 설정하여 보호하여야 할 실행파일들이 없게 된다. 그러 
나 모든 응용프로그람들이 하나 또는 두개의 봉사기들로부터 나온다면 요구되는 허가의 
최소준위를 설정하여 비루스감염의 가능성을 줄인다. 

고려하지 않은 선택안들 

과정감시나 검열합확인은 론의하지 않았다. 왜냐하면 이 방법들은 둘다 비루스스캐 
너 쏘프트웨 어 보다 효과적 이 지 못하기 때 문이 다. 

UNIX 체계의 보호 

한가지 중요한것 을 놓치 고 있 다. UNIX 체 계 는 무엇 에 리용되 고 있는가? 

그것 은 단순한 우편중계 기 가 아니 다. 이 질 문에 대 한 대 답은 독자의 선택안에 큰 영 
향을 줄수 있다. 

실례를 들어 C 코드를 콤파일하기 위한 공학적체계를 가정하자. 사용자들은 체계에 
telnet 와 FTP 를 통하여 련결된다. 


일러두기 

론리 적인 결정을 할 수 있는 충분 한 정보가 있는가를 항상 확인 하여야 
한다. 


파일의 무결성검사 

UNIX 체 계 와 관련하여 가장 큰 관심 사중의 하나는 누군가가 인증정 보를 얻 기 위하 
여 체계에 트로이목마를 태우려고 시도할수 있다는것이다. telnet 봉사기를 다른것으로 
바꾸어 놓음으로써 공격자는 체계를 인증하는 매 사용자들로부터 가입등록정보를 얻을 
수 있다. 

이러한 활동을 검사하는 가장 간단한 방도는 규칙적으로 파일완전성을 검사하는것이 
다. 이것은 CRC 검사를 포함하여 원래 파일과 크기가 같은가 또는 시간표를 가진 변화도 
검사할수 있다. 들어 오는 련결을 받아 들이는 임의의 다른 처리와 함께 telnet 와 FTP 봉 
사기 도 검 사하여 야 한다. 이 검 사는 서 로 다른 기 계 들에 서 도 분석할수 있 게 자동적 으로 
실 행 되 여 야 한다 . 서 로 다른 기 계 우에 서 의 결 과를 분석 하여 체 계 를 손상시 키 려 는 시 도들 
을 막을수 있다. 
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과정 감시 

UNIX 기 계 와 관련된 또 다른 문제 는 체 계 에 월 을 리 용하여 침 입 할수 있 다는것 이 다. 
이것은 체계에서 동작하는 새로운 처리를 요구한다. 완전성검사에서와 같이 하나의 개별 
적인 체계에 대한 결과를 검열하고 분석하여야 한다. 체계에서 무엇이 동작하는가를 알 
면 새로운 처리가 나타날 때 해당한 처리를 할수 있다. 

파일허가 

기정 으로 뿌리준위사용자들만이 체 계 에서 봉사기 처 럼 동작하는 쏘프트웨어를 쓸수 
있다. 이것은 공격 자가 임의의 봉사기 쏘프트웨어를 교체 하자면 먼저 뿌리준위구좌를 파 
피 하거 나 뿌리준위 의 약점 을 리용해 야 한다는것 을 의 미한다. 

체계손상의 기회를 줄이기 위하여서는 이러한 파일준위접근을 유지하여야 한다. 규 
칙 적 인 사용자구좌에는 이 파일 들에 로의 쓰기접 근이 허 가되 지 말아야 한다. 

고려하지 않은 선택안 

비루스주사쏘프트웨어는 어 떠한가? UNIX 관련비루스들은 극히 드물다. 이 체 계를 
규정 대 로 리용한다면 비 루스감염 은 거 의 일 어 나지 않을것 이 다. 더 큰 관심 은 트로이 목 
마와 웜들에 돌려야 한다. 


요 약 

이 장에서는 비루스와 트로이목마，월들사이의 차이점에 대하여 론의하고 이 매개 
가 어떻게 감염된 체계에 영향을 주는가에 대하여 고찰하였다. 또한 어떤 방지대책이 
준비되 여 있고 매 개의 효과성 은 어 떤가에 대 하여 서 도 보았다. 또한 혼합된 망환경 을 
고찰하고 이것을 감염으로부터 막자면 어떻게 하는것이 가장 좋은가에 대하여서도 고 
찰하였다. 

다음장에서는 여벌복사와 재난회복에 대하여 고찰한다. 이것은 파국적인 사태가 발 
생하는 경우 마지막방어선을 제공한다. 보안의 견지에서는 항상 최악의 경우도 예견하는 
것이 좋다. 
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제 1 2장. 재난방지와 회복 


재난방지는 자원의 파괴가 망운영에 영향을 미치지 않도륵 하기 위한 예방단계로서 
정의된다. 재난방지를 보험과 같이 생각할수 있다. 즉 필요할 경우에는 돈을 투자한다. 
그러나 결코 그렇게 되기를 바란것은 아니다. 

재난회복은 긴급대책계획에 대한 모든것이다. 

최악의 사태가 결코 일어 나지 않는다는것을 담보하였음에도 불구하고 재난이 현실 
로 될 때도 있다. 이러한 경우에는 무엇을 할것인가 하는 계획을 가지고 있어야 한다. 
이러한 계획은 재난의 마지막방어선이다. 

제2장에서는 위험분석과 자기의 중요한 자원들을 알아 두는것의 중요성에 대하여 고 
찰하였다. 또한 그것에 드는 비용에 대하여서도 고찰하였다. 이 장에서는 이러한 자원들 
을 접 근가능하게 하는데 서 어 떤 선택안들이 준비되 여 있는가를 고찰한다. 

재난의 류령 

재난의 해결책에는 다음의 두가지가 있다. 

• 봉사의 유지와 복구 

• 오손되거나 지워 진 정보의 보호 또는 복구 

매 류형은 자기의 주장을 가지고 있으며 이 두 류형이 다 포함되지 않는 한 재난의 
해결책은 완성될수 없다. 

실례로 하나의 봉사기에 설치된 두개의 하드구동기가 함께 거울화되였다고 하자. 거 
울화란 두개 의 디 스크가 항상 정 확히 같은 정 보를 가지 고 있 다는것 을 의 미한다. 거 울화 
가 쓰이면 하나의 하드구동기의 파괴가 전체 봉사기에 영향을 주지 않는다. 그것은 남은 
하드구동기가 계속 파일정보를 보존하며 이전에 기억된 정보에로의 사용자접근을 보장하 
기 때문이다. 

거울화는 하나의 재난회복봉사로 볼수 있다. 왜냐하면 그것이 파일봉사를 쓸모 있게 
하여 주기때문이다. 

사용자가 관리자에게 와서 자기가 3달전에 지워 버 린 파일을 회복해 줄것을 요 
구한다고 하자. 많은 시 간이 지 나감에도 불구하고 이 정 보가 지 금 그에 게 다시 중요 
하게 되 였 으나 그 정 보를 다시 만들수는 없 었 다. 거 울화가 파일봉사기 에 서 유일한 
재 난회 복대 책 으로 리용되 는 경 우에 곤난한 문제 가 발생한다. 거 울화는 파일들이 두 
하드구동기에 동시에 기억되여 있다는것을 보증하며 또한 파일들이 지워 지는 경우 
에 두 디 스크에서 동시 에 제거된다는것 을 보증한다. 거 울화를 리용하면 잃어 진 정 
보를 회복할수 없다. 
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일러두기 

재난회복대책을 세울 때 봉사기고장의 회복과 함께 잃어 진 정보를 회복하는 방법도 
고려하여야 한다. 이것들은 둘다 재난위기에 대한 긴급대책에서 중요한 문제로 된다. 


망 재 난 

망재난은 전체 통신을 중단시킬수 있다. 그러나 망재난에 대하여서는 봉사기들보다 
적게 주의가 돌려 지고 있다. 대부분의 기관블은 봉사기를 안전하게 하는데 큰 노력을 
기울이고 있다. 이 봉사기들을 련결시켜 주는것이 망임에도 불구하고 망에는 같은 준위 
의 보안이 보장되지 않고 있다. 망이 동작하지 않는다면 봉사기도 거의 쓸모 없다. 

다음절에서는 여러가지 망기술들과 그것에 영향을 줄수 있는 약점들에 대하여 고찰 
한다. 이것은 많은 정보를 줄수 있지만 이 약점들과 특징들을 구체적으로 리해하게 되면 
더 큰 걱정거리가 생긴다(특히 고장을 쉽게 식별할수 없을 때). 

매체 

재 난회 복절 차는 망매 체 로부터 시 작하여 야 한다. 대 부분의 국부망들에 서 는 물리 적 인 
케블을 기본으로 사용하고 있지만 무선매체들이 급속히 보급되고 있는 현재의 환경에서 
는 매체를 전체적인 재난회복의 한 부분으로 고찰하여야 한다. 사용하는 케블이 망의 고 
장에 얼마나 견디는가를 결정하는것은 어렵다. 어느 매체를 선택하든지 그것은 전체 망 
통신을 책임지며 따라서 매체준위에서의 고장은 치명적이다. 

가는망과 굵은망 

가는망과 굵은망케 블은 1970년대 에 원래의 이씨네 트망에서 쓰이 였 다. 이 두 케 블들 
은 여 러개의 체 계들이 케블의 같은 론리적 인 토막에 접속할수 있게 한다. 케 블의 임의의 
부분에 고장이 생기면 여기에 련결된 모든 체계는 통신할수 없으므로 이 케블은 고장의 
중심점으로 된다. 

지난 2년 간 100개 이 상의 회 사들중 어 느 하나도 가는망케 블이 나 굵은망케 블을 리용하 
여 새롭게 설치를 하지 않았다. 

그런데 유감스럽 게 도 그들중 15%가 아직 도 망의 워 크스테 이 션나 봉사기접 근에 가는 
망케블을 쓰고 있었다. 그리고 2개의 회사가 여전히 굵은망케블을 쓰고 있었다. 


일러두기 

망의 능력 을 높이 기 위한 가장 큰 방도의 하나는 가는망케 블과 굵은망케 블을 새 로 
운 매체로 바꾸는것이다. 


M 임 쌍선 

류형 5 (CAT 5) 케블은 대부분의 망설치에 쓰이는 표준케블이다. 지금 대역너비증가 
요구에 따라 빛 섬 유케 블로 교체 되 고 있지 만 적 어 도 몇 년동안은 CAT 5케 블을 쓸것 이 다. 
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실례 로 기 가비트이써네 트는 빛섬 유케 블에 기초하고 있지 만 짧은 길 이의 케 블 (50 〜 75m) 
에 대 하여서 는 CAT 5 케 블도 쓸수 있게 되 여 있다. 

문제는 아직도 류형 3 (CAT 3) 케블이 많이 쓰이고 있으며 mMB 전송용으로 검사된 
케 블들을 리용할 때 제 기 된다. CAT 5 는 100MB 이 상의 전송을 담보하지 는 못하지 만 이 
러 한 속도를 지 원할수는 있다. 100MB 이 상의 고속장치 들에서 는 CAT 3 이 나 CAT 5 케 블 
을 교체하여야 한다. 이러한 경우에 망에 과부하가 생기지 않는다면 문제는 발생하지 않 
는다. 물론 과부하는 많은 사용자들이 망봉사에 의 거 하고 있 다는것 을 의 미한다. 이 때 성 
능이 나른 케블을 쓰면 망의 속도를 떨구어 파케트전송을 방해 하고 지 어 사용자들의 봉 
사를 단절한다. 

이러한 문제의 가장 좋은 해결책은 케블을 쓰기전에 검사하고 확인하는것이다. 만일 
이것이 불가능하다면 또는 낮은 등급의 케블을 여전히 리용하여야 한다면 하나이상의 교 
환기 를 리용하여 이 문제 를 해 결할수 있다. 교환기 는 파케 트완충능력 을 가지 고 있으며 
여 러개의 충돌령역 으로 전송을 분리시 킨다. 이것 이 고장을 다는 극복할수 없으나 케 블의 
문제가 망에 주는 영향을 어느 정도 감소시킬수 있다. 

빛섬유케블 

빛 섬 유케 블은 망정 보전송에 빛 을 쓰기 때 문에 전자기간섭 (EMI) 의 영 향을 받지 않는 
다. EMI 는 전송오유를 발생 시키며 특히 케 블이 과부하를 받으면 그 효과가 더 커 진다. 
빛 섬 유케 블을 선택 하는것 은 EMI 영 향을 피 하는 좋은 방법 으로 되 며 빛 섬 유케 볼로써 실 현 
되는 봉사들의 믿음성을 높인다. 


W __ °i 

빛섬유케블에 대하여서는 제 4 장에서 구체적으로 고찰하였다. 


지나친 케블길이 

매 론리적위상구조는 리용할수 있는 최대케블길이를 규정하고 있다. 실례로 10MB 
및 100MB 이써네트는 꼬임쌍선케블토막의 길이가 100m 를 초과하지 못하도록 규정하고 
있다. 이러한 규정은 케블의 한끝에 있는 체계가 그것의 다른 끝에 있는 체계의 자료전 
송을 정확히 검출할수 있도록 한다. 

케블길이 가 초과되면 낮은 신호세 기와 충돌의 증가로 인한 통신속도저 하로 하여 고 
장이 생길수 있다. 이러한 문제들이 일정하지 않는것으로 하여 고장원인을 찾아 내는것 
이 매우 어렵다. 


일러두기 

케 블길 이한계 가 초과되 는것 을 검 사하기 위하여 케 블검 사기 를 사용하는것 이 좋다. 


무선기술들 

일부 망들은 무선매체를 리용한다. 무선기술은 현재까지 전송속도가 낮고 공통적인 
표준이 부족한것으로 하여 시장점유에서 제한을 받고 있다. 새로운 기술과 표준의 채택 
으로 하여 (특히 802.11b) 고속무선국부망 (WLAN) 은 현재 널 리 보급되 고 있다. 
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WLAN 은 위치에 관계없이 동작하는 전송체계로서 망련결에서 케블대신에 라지오파 
를 리용한다. 기업환경에서 WLAN 은 보통 유선망과 의뢰기그룹사이의 련결로 쓰인다. 

그러 나 무선기술리용에도 여전히 위협 이 존재한다. 

간섭 802. lib 가 무선국부망의 표준으로 제 기되 였지만 다른 경 쟁하는 표준들 
(HomeRF 와 Bluetooth) 도 있 다. 20()1 년에 FCC 는 HomeRF 가 주파수대 역 
을 늘일수 있으며 따라서 802. lib 의 대 역과 겹칠수 있다고 규정 하였다. 
HomeRF 는 가장 좋은 신호를 얻 기 위 하여 (그리 고 다른 신호들을 피 하기 
위 하여 ) 주파수에 서 주파수에 로 움직 이 는 주파수도약통신 (freguemy- 
fopping) 을 리용하지 만 802. lib 는 그렇 지 못하다. 결과적 으로 802. lib 규 
약을 리 용하는 국들은 HomeRF 를 리 용하는 국들과 간섭 할수 있 다. 

설치와 구성 이동할수 있다는 무선망의 우점 이 사실상 문제점으로 되고 있다. 

이 동통신사용자들은 휴대 용전화와 마찬가지 로 하나의 접 근점 으로부터 다른 
점 으로 옮겨 져 야 한다. 한 지역을 포괄하는 충분한 접근점들이 부족하거 
나 그것들이 정확히 구성되지 못하면 망의 통신은 실현될수 없다. 

중요한것은 무선기술이 재난회복계획의 좋은 부분으로 될수 있으며 유선망체계가 
고장나는 경 우에 하나의 여 벌체 계 로 리용될 수 있 다는것 이 다. 또한 WLAN 들은 점 차 
현존 유선망에 합쳐 지기때문에 유선망자체가 WLAN 의 고장의 경우에 여벌계획으로 
된 다. 

우 I 상구조 

망위상구조의 선택은 망이 고장에 얼마나 강한가 하는데 큰 영향을 미친다. 다음절 
에서 보게 되겠지만 일부 위상구조들은 여러가지 문제들을 회복하는데 좋은 해결책을 준 
다. 현재 있는 망위상구조를 변화시킬 필요는 없다. 이 절에서는 몇가지 공통적인 문제 
점들을 지적하고 그것에 따르는 긴급회복계획에 대하여 고찰한다. 


이써네트 

이씨네트는 대부분의 망환경 에서 사용하는 위상구조이 다. 꼬임쌍선을 쓰는 경우 이 
위상구조는 임의의 토막우에서의 케블문제로 하여 제기되는 고장에 강하다. 이것은 체계 
들을 분리시켜 하나의 체계만이 고장의 영향을 받도록 한다. 물론 이 하나의 체계가 봉 
사기라면 련결의 단절은 여러 사용자들에게 영향을 줄수 있다. 

이써네트망의 가장 큰 약점은 하나의 체계가 모든 유용한 대역너비를 다 차지할수 
있다는것이다. 현대의 망카드들에서는 이것이 일반적인 문제로 되지 않지만 이전의 망대 
면부기판들에서는 여러 체계가 동시에 망전송을 요구하는 문제가 제기되군 하였다. 매 
체계는 다른 체계가 전송을 끝내기를 기다리고 있다가 그것이 끝나면 또 전송을 시작한 
다. 이로 하여 충돌이 많아 지며 망의 성능이 떨어 지게 된다. 

기술의 발전과 함께 이 문제는 현재 거의 극복되였다. 교환기는 전체 망환경을 일정 
한 충돌령역으로 분리시킨다. 이것은 고장이 발생한 체계를 고립시켜 망의 다른 체계의 
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전송에 영 향을 주지 못하게 한다. 


통표고리형위상구조 

통표고리형은 고장에 견더게 설계되였지만 문제가 없는것은 아니다. 통표고리형은 
모든 체계들이 계획적으로 동작할 때 좋은 위상구조로 된다. 실례로 통표고리형망에 접 
근된 NIC 는 그 고리우의 다른 NIC 들이 문제 가 있 다는것 을 알리 는 경 우 자체 진 단검 사를 
진행할수 있다. 고장난 NIC 는 자체진단검사를 할수 없다. 만일 그 NIC 를 정상이라고 본 
다면 고리 에서는 문제 가 계속 발생되 게 된다. 

통표고리형 의 하나의 가능한 고장조건은 NIC 가 다른 전송속도를 검 출하는것 이 다. 
통표고리 형 은 매 체 계 가 통표를 다음 체 계 에 성 과적 으로 통과시 킬 것 을 요구하기 때 문에 
다른 전송속도로 설정된 하나의 NIC 는 전체의 체계에 영향을 줄수 있다. 실례로 고리의 
매 체계가 16MB 로 설정되였다고 하자. 한 체계가 이 고리에 련결되였는데 4MB 로 설정 
되였다면 모든 통신이 멎어 버릴것이다. 그 리유는 새로운 체계가 통표를 너무 느리게 
통과시켜 다른 체 계 들이 통표가 잃 어 진것 처 럼 생 각하게 하기 때 문이 다. 통표가 지 나갈 
때 고장조건이 명백하지만 부정 확하게 구성된 체 계 에서는 달라 진다. 그것은 그 고리 에 
대하여 동작상태와 고장상태를 정확히 구별할수 없기때문이다. 

통표고리교환기는 다른 전송속도로 설정된 한 체계가 고리망의 나머지 부분에 영향 
을 주지 않도록 완화한다. 교환기를 리용하면 고리가 16MB 로 동작할 때 하나의 체계는 
4MB 로 동작할수 있 다. 그런데 통표고리교환기 는 대 중적 으로 쓰이 지 못하며 이써네 트의 
교환기보다 훨씬 비 싸다. 그러 므로 이 교환기 는 거 의 쓰이 지 않고 있 다. 
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이씨네트망은 그러한 난점을 가지지 않는다. 하나의 체계가 다른 전송속도로 설정 
될 때 그 체계만이 영향을 받는다. 다른 모든 체계들은 정상으로 통신을 계속할수 
있 다._ 


만일 통표고리형에서 두개의 체계가 같은 매체접근조종 (MAC) 번호를 가진다면 무슨 
일이 일어 나겠는가? 이써네트환경에서 2 중 MAC 는 같은 번호를 리용하는 2 개의 체계들 
에만 영향을 준다. 그런데 통표고리형에서는 2 중 MAC 가 전체 고리를 멈춰 세울수 있다. 
그 리유는 통표고리형이 매 체계가 통표를 수신하는 체계와 송신해야 할 체계 (자기의 린접 
체계들)의 MAC 주소를 가지고 있을것을 요구하기때문이다. 2 중 MAC 주소는 고리체계를 완 
전히 혼란시킨다. 

빛 섬 유분산자료대 면 부 (FDDI) 

빛섬 유분산자료대 면부는 고리형위상이지 만 통표고리형 에서 나타나는 많은 문제 점 들 
을 고려하여 두번째 고리 를 추가하였 다. 이 두번째 고리 는 고장이 발견되 지 않으면 동작 
하지 않는다. 고장이 발생하면 FDDI 체계 가 동작하여 문제가 발생한 령역을 격 리시 킨 
다. FDDI 는 낡은 기술로 간주되고 있다. 왜냐하면 속도를 100MB 이상으로 높일수 없기 
때 문이 다. 그러 나 이 기 술은 고장견덤 성 이 강한것 으로 하여 여 전히 리용하고 있 다. 
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FDDI 는 전 2 중방식 으로 동작할수도 있다. 이 경 우에 두 고리 는 항상 동작상태 에 있 
다. 그러므로 두번째 고리를 예비로 쓸수 없다. 


FDDI 고리환경 에 서 그것 의 매 개 국은 케 블이 나 장치 의 고장을 막기 위하여 두 고리 
에 다 련결된다. 그림 12-1 에서 두개의 경로기사이에 케블고장이 생겼다고 하자. 이 케 
블고장이 생기면 체계는 더이상 자료를 받을수 없다는것을 재빨리 알아 차린다. 그리고 
비콘이라고 하는 특별한 유지파케 트를 전송하기 시 작한다. 비콘은 고리상의 다른 체 계들 
에 문제 가 검 출되 였 다는것 을 알리 기 위하여 리용한다. 비 콘파케 트는 다음의 내 용을 담고 
있다. 《나의 이웃에 문제가 발생하였다고 생각한다. 왜냐하면 내가 더이상 자료를 받지 
못하기 때문이 다.》다음에 그 국은 두번째 고리 우에서 자기의 련결을 초기화하여 접근기 
A 에서 자료를 주고 받을수 있게 한다. 



그림 12-1. FDDI 고리에 련결된 4개의 경로기 


비콘파케트는 그것이 체계의 반대쪽 이웃에 이를 때까지 계속 송신된다. 반대쪽 이 
옷은 그다음 두번째 고리에로의 련결을 초기화하여 접근기 B 우에서 자료를 주고받을수 
있게 된다. 이 렇게 하여 문제 가 발생한 령역을 고립시키고 정상적 인 련결에로 돌아 가게 
한다. 비콘을 전송하는 국이 자기 의 비콘을 받으면 전송을 중지하며 고리 의 정 상동작으 
로 들어 간다. 최 종 전송경 로는 그림 12-2 의 망과 류사하다. 비 콘파케 트를 리용하여 망 
의 체계들은 고장령역을 결정하고 두번째 고리를 동작시켜 그령역을 격리시킬수 
있 다. 
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만일 이것이 반대쪽 이웃에서 발생한 하드웨어고장이고 그 체계가 두번째 고리를 초 
기화할수 없다면 하드웨어고장이 생긴 체계의 이웃체계가 그것을 다시 검출하고 문제가 
발생한 하드웨 어를 격 리시 킨다. 그러나 망의 나머지 부분은 자기의 기능을 계속 수행 한다. 

매 경 로기는 련결 이 회 복될 때 까지 고장난 부분을 계속 감시 한다. 련결 이 회복되면 
원래의 고리는 완전동작에로 돌아 가며 두번째 고리는 다시 정지한다. 이런 형태의 고장 
극복성은 련결이 한주에 7일，하루에 24시간동안 계속 유지되여 야 하는 환경 (24 X 7 동작 
이라고 한다.)에서 매우 중요한것이다. 이 기능으로 하여 FDDI 가 오늘날 국부망들중에 
서 가장 고장에 잘 견디는 망위상구조로 되였다. 


추 __°1 

FDDI 는 별형위상구조를 지원할수도 있다. 이것은 여분을 제공하지 않는다. FDDI 망 
은 별형구조와 고리형구조로 구성될수 있다. 


802. lib (WLAN) 

802. lib 표준은 두개 의 기 본요소들을 정 의한다. 


국 보통 이것은 무선 NIC 를 가진 PC 이다. 

접근점 접 근점 ( AP ) 은 유선망과 무선콤퓨터사이 의 다리 로써 동작한다. 접 근점 
은 무선 및 유선대면부(이써네트)와 다리기눙쏘프트웨어로 구성되는데 
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하나 또는 여러개의 국들이 망에 련결되도록 하는 기초이다. 

802. lib 는 또한 두가지 방식 으로 동작한다. 

기반구조 이 방식 은 기 초봉사모임 ( BSS ) 이 라고도 하는데 유선망에 련결된 적 어 
도 하나의 접 근점과 하나 또는 여 러개의 무선국집 단에 련결된 하나의 접 
근점 을 가지 는 무선망이다. 하나의 부분망에 있는 두개 또는 그이상의 
BSS 들을 확장봉사모임 ( ESS ) 이 라고 부론다. 기 반구조방식 은 기 업 환경 에 
서 가장 일반적인 방식이다. 

림시방식 이 방식을 독립 BSS ( IBSS ) 또는 동등방식이라고도 한다. 새의 다리 
봉사들이 없이 직접 통신하는 무선국들의 집단으로 이루어 져 있다. 

이씨네트 (802.3) 와 마찬가지 로 802. lib 는 송신전에 송신자가 매체를 감시 하도록 한 
다. 이써네트에서 완전접근규약은 반송파수감다중접근/충돌검출 ( CSMA / CA ) 로 알려 져 
있다. 무선망에서는 충돌검사가 가능하지 않다. 왜냐하면 하나의 국이 동시에 송신과 듣 
기를 할수 없으며 따라서 충돌이 발생한다는것을 알수 없기때문이다. 

이것을 보상하기 위 하여 802. lib 는 반송파수감다중접근/충돌회 피 (CSMA 八:시라고 
하는 수정 판을 리용한다. CSMA/CA 는 다음과 같이 동작한다. 송신자는 듣고 있 다가 이 
무런 행동도 나타나지 않으면 추가적 인 우연시간동안 기 다리다가 전송한다. 파케트를 완 
전히 밤으면 수신자는 송신자에게 응답을 보내여 그 과정을 완료한다. 응답이 수신되지 
않으면 충돌이라고 가정하고 그 파케트를 재전송한다. 유감스럽게도 CSMA/CA 에는 추 
가적인 처리가 포함되므로 등가인 이써네트망보다 속도가 느리다. 

또 다른 가능한 문제 는《 숨겨 진 마디》라고 하는데 여 기 서 접 근점 의 반대 쪽에 있 
는 두 국은 접근점으로부터의 활동은 들을수 있지만 서로는 듣지 못한다. 다행히도 
802. lib 에 는 전송요청 /전송지 우기 ( RTS / CTS ) 라는 선택 안을 가지 고 있 다. 이 규약은 송 
신자가 먼저 RTS 를 송신하고 그다음 AP 에서의 CTS 를 기다리게 한다. 모든 국들이 AP 
를 들을수 있기때문에 CTS 를 기다리는것은 송신은 느리지만 매 송신자가 충돌없이 통신 
하게 한다. 그러나 RTS/CTS 는 부차적인 처리를 가지고 있으며 이것은 또 하나의 잠재 
적 인 결점 으로 된다. 

여 러개의 AP 를 가진 WLAN 을 설계하여 단일고장점 을 피할수 있다. 국이 자기의 원 
래 AP 로부터 물리 적 으로 멀 어 지 는것 으로 하여 새 로운 AP 와의 재 결 합이 발생하지 만 이 
것 은 무선특성 의 변환 또는 큰 망자료흐름에 의 하여 서 도 발생할수 있 으며 이 로 하여 부 
하균형을 실현할수 있다. 

임대선 또는 T1 련결 

임대선 또는 T 1 련결과 같은 전용회선 WAN 위상구조들은 내부비밀을 담보하는 좋 
은 방법이기는 하나 단일고장점문제가 제기된다. 임대선이나 T 1 련결은 두개의 멀리 
떨어 져 있는 싸이트들사이의 하나의 긴 케블과 등가이다. 만일 이 회선의 일부가 차 
단되 면 이 두개 의 싸이트들사이 에 정 보가 여 전히 교환된 다는것 을 담보하는 여 유가 없 
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게 된다. 

전용회선을 리용할 때 이 절의 뒤에서 취급하는 상사 또는 ISDN 여유선택안을 고려 
하여야 한다. 만일 봉사기들을 현장사무소로부터 중심위치에로 옮기는 최근의 추세에 따 
르고 있다면 이것은 특별히 중요하다. 이것 은 하나의 관리점 을 제 공하지 만 또한 단일고 
장점도 만든다. 봉사기가 없는 현장사무소가 기본사무소와의 전용회선련결을 잃으면 이 
현장사무소에는 망자원들을 잃게 된다. 만일 회사가 약한 의뢰기구조를 리용하였다면 이 
현장사무소는 완전히 폐쇄될것이다. 

프레임 중계 

프레 임중계도 WAN 의 련결을 제공할수 있지만 그것은 공유된 공공망을 통하여 제공 
된다. 이 망은 만일 프레 임중계망의 어 떤 토막이 고장난다면 자료흐름은 임의 의 련결을 
통하여 전달될수 있다는 의미 에서 파케 트교환망이다. 이것은 약간의 자료흐름혼잡을 일 
으킬수 있지만 적어도 련결성은 보장한다. 

그러나 전체 프레임중계망이 정지되는것이 불가능하지는 않다. 이러한 사건이 최근 
에 MCI 와 AT&T 에서 발생하였다. 이 두 경우에 모든 리용이 중단되였다. 이것은 의뢰기 
의 위치에 따라서 몇시간으로부터 며칠까지 지속되였다. 이러한 정지상태들은 드물지만 
이 고장들이 발생할수 있 다는것 을 고려하여 야 한다. 


일러두기 

프레 임중계 망이 전용회 선들보다 더 좋은 고장견딤 성 을 제 공하고 있지 만 고장에 안 
전하지는 않다. WAN 토막이 하루 24시 간 한주 7일 (24 X 7) 동안 계속 동작하는 프 
레 임중계 망우에 서 동작한다면 회 선에 대 한 어 떤 여 유를 설정하는것 을 고려하여 야 
한다. 


수자식 종합통신 망 ( ISDN ) 

ISDN 은 64 Kbps 이 상의 수자식봉사를 제 공하는 전화회 사기 술이 다. ISDN 은 1980년대 
초기 부터 쓰이 였지 만 상사모뎀의 제 한과 새 로운 파케 트교환기 술의 도입 에 의하여 1990년 
대 후반기 에야 광범히 실현되 였 다. ISDN 은 전화교환기 들에 수자식교환련결을 지 원하는 
봉사설치를 요구한다. ISDN 은 초기에 설치비용이 비싸고 표준들의 결핍 그리고 적은 수 
의 사용자 등의 문제들을 가지고 있었다. 

ISDN 련결에 포함된 회선들은 전용으로 주어 지기때문에 하나의 회선차단은 전체 련 
결의 고장으로 이어 진다. 어떤 회사에 대하여서는 이것이 괜찮은 선택안이고 또 어떤 
지역에서는 값 눅은 인터네트접근만이 유일한 선택이지만 가장 현대적인 회사들은 DSL 
이 비록 자기의 실현문제로 하여 다소 복잡하지만 DSL 기술은 값 눅고 유연성 이 있다. 
여 전히 ISDN 은 그것 의 안전한 성 능과 고장력사가 없는것 으로 하여 잘 알려 진 기 술로 
남아 있다. 
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수자식가입자선 

수자식 가입 자선 ( DSL ) 은 현존의 동선을 리용하고 중심교환기 까지 의 짧은 거 리 
(18000 ft 이하)를 요구한다는 면에서 ISDN 과 비슷하다. DSL 은 회선지향이지만 전체 길이 
의 련결 에 대 하여 고정 된 물리 적 회 선을 리 용하는것 이 아니 라 LECs POP 에 로의 완전한 
회선을 요구한다. 이것은 임의의 주어 진 련결에서 고장점들의 수를 줄인다. DSL 은 또 
한 ISDN 보다 더 높은 준위의 속도 즉 52 Mbps 까지의 내 리흐름속도와 1 Mbps 까지의 올리흐 
름속도를 제공한다. 이 속도는 ISDN 또는 T 1 에서와 같이 고정되는것이 아니며 이것은 비 
데 오회의 나 다른 다매 체리 용들에서 는 련결의 두 방향과 관련하여 문제 를 초래할수 있다. 

단일고장점 

앞절 에서 도 짐 작할수 있는바와 같이 망우에서 재 난을 줄이는 가장 좋은 방법 은 단일 
고장점들을 확인하고 여 유를 설정하거 나 긴급대 책계 획을 세우는것 이 다. 모르고 단일고장 
점을 만드는것은 망설계 에서 생기는 가장 일반적 인 오유이다. 

실례 로 보통의 인테네 트련결의 구성 을 고찰하자. 

• 단일방화벽 

• 단일경로기 

• 단일 CPU/DSU 

• 단일임 대 선이 나 T 1 련결 

이 구성은 3개의 전자장치와 인터네트련결을 모두 중단시킬수 있는 통제밖에 있는 
망회 선을 가지 고 있다. 이 장치 들은 쉽 게 교체할수 있는 요소들이 아니 다. WAN 회 선는 
국부교환회 사에 의하여 조종되며 따라서 응답시 간은 국부교환회사와 가지게 되는 기 업상 
관계의 직접적인 영향을 받는다. 일부 기관들에서는 이런 문제를 크게 보지 않으나 많은 
기 관들은 자기 의 매 일 사업 의 한 부분으로서 인 터네 트련결 에 의 거한다. 인 터네 트련결 이 
처 음 리 용될 때 인 터네 트봉사에 로의 접 근은 중요한 문제 로 간주되 지 않는다. 

지금 인터네트접근은 중요한 기업기능으로 되였으므로 누구도 인터네트봉사를 잃는 
다는데 대하여서는 생각하지 않다. 따라서 위험분석에로 되돌아 가서 망의 단일고장점을 
확인하여야 한다. 또한 봉사를 잃는것이 주는 영향을 평가하여야 한다. 만일 망의 어떤 
점 이 중요하다고 보아 지면 여분을 구축하여 야 한다. 

설비 보강 

1990년대 초에 집선기는 높은 포구밀도과 단일고장점으로 하여 많이 대중화되였다. 
하나의 집선기를 통하여 200개이상의 체계들을 련결하는것이 보통 현상으로 되였다. 물 
론 망토막에 200이상의 사용자들을 련결하는것은 전원문제 나 관리 등의 문제로 하여 곤 
난하다. 그러 므로 많은 기 관들은 여 러개의 집선기 들을 리용하려 고 하고 있다. 설 치 공간 
은 더 필요하지만 하나의 집선기의 고장이 전체 망에 영향을 주지 않는다. 

Cisco , Cabletton 등의 회사들로부터 이러한 제품들이 제공된다. 이전의 집선기와 마 
찬가지 로 이 제 품들은 중앙관리점 에 의하여 관리 비 용을 낮춘다고 주장한다. 이 주장도 
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일리는 있 지 만 이것은 하나의 장치 의 파국적 인 고장에 의 한 재 정 적 인 손실 에 대 하여 서 는 
말하지 않고 있다. 

장치의 다중리용은 고장의 회복에서 보다 많은 유연성을 보장한다. 실례로 하나의 
교환기대 신에 6개의 교환기 를 리용하면 하나가 고장난다고 하여 도 망동작이 정지 되 지는 
않는다. 고장난 장치가 있다고 하여도 얼마간의 여유는 가지게 될것 이다. 나머지 5개의 
장치 들을 리용하여 중요한 사용자들에 대 한 봉사를 계 속할수 있 다. 

여분의 LAN 경로의 우점 

제3장에서 본바와 같이 강한 동적경 로조종을 리용하면 망토막들사이 에 여 러개의 경 
로들을 얻을수 있다. 일부 경로조종규약들은 어느 경로가 가장 좋은 경로인가를 결정하 
는 척 도로서 망리용률과 갈은것 을 고려 하고 있 다. 

정적경 로들은 하나의 경 로만이 있을 때 ( WAN 련결과 같은) 또는 공격 자가 경 로표를 
혼란시킬수 있는(인터네트련결과 갈은) 지역에서는 좋을수 있지만 내부망에 대하여서는 
OSPF 와 같은 동적경 로조종을 리용하여 야 한다. 매 토막들사이 에 하나의 련결점 만이 있 
다면 다른 경로기를 예비로 구입하거나 자기봉사기들에 망기판추가를 고려하여야 한다. 
도약수와 비 용과 갈은 척 도들을 리용하면 망을 긴급사태 의 경 우에 봉사기 를 통하여 경 로 
조종하도록 구성할수 있다. 이것 은 원래의 경 로기 가 고장나지 않는 한 봉사기 에 추가적 
인 부하가 걸리지 않는다는것을 담보할수 있게 한다. 

WAN 련결을 위한 전화선여벌 

WAN 련결은 단일고장점을 제공하는 중요한 후보로 된다. WAN 련결을 유지하는 비 
용으로 하여 대부분의 회사들은 자기의 WAN 에 로의 어떤 형 태의 여유를 설정하지 않는 
다. 그렇게 되면 망의 이 부분에 대한 실제적인 조종을 할수 없게 된다. 고장과 관련한 
망문제를 해결하는것은 모두 통신회사의 처분에 달려 있다. 

한가지 가능한 해결책은 경계선경로기들이 만일 원래의 선이 고장나는 경우에 여벌 
회 선으로 넘 어 가도록 구성하는것 이 다. 이 여 벌회 선은 한쌍의 모뎀 에 따르는 상사식 전화 
선으로 될수 있으며 또는 ISDN 을 리용하여 대역너비를 늘인것일수도 있다. 이때 선이 
T 1 이라면 대역너비는 작아 지지만 두 위치사이에 대역너비가 전혀 없는것보다는 낫다. 

경 로기 가 전화선여 유를 가지 도록 구성하는것은 어 렵지 않다. 다음의 실례 는 serial 0 
우의 원래의 회선이 응답에서 실패하였을 때 Cisco 경로기가 bri 0우의 ISDN 의 련결을 실 
현하도록 요구하는 명 령들을 보여 주고 있다. 

interface serial 0 

여벌복사 delay 10 120 

여벌 복사 interface bri 0 

ip address 192.168.5.1 255.255.255.0 

| 

interface bri 0 

ip address 192.168.5.2 255.255.255.0 
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dialer string 5551212 
dialer-group 1 
dialer in-band 
dialer string 5551212 
async dynamic routing 
! 

dialer-list 1 protocol ip permit 


이 구성 은 만일 serial 0 이 10 s 동안 응답하지 않으면 bri 0대 면부가 예 비 경 로로 기 동 
된다는것을 경로기에 알리고 있다. 마찬가지로 만일 serial 0회선이 최소 120 s 동안 동작 
상태로 돌아 오면 bri 0선은 다시 취소되여 야 한다. dialer - list 명 령은 또 하나의 회선경로 
를 가져 올수 있는 자료흐름의 형태를 확인한다. 이 경우에는 임의의 ip 자료흐름이 그 
회선을 기동시 킬수 있다고 규정하였다. 


일러두기 

만일 여 벌 해 결 을 위 하여 ISDN 을 리 용한다면 또는 여 러 개 의 현 장사무실 련 결 을 BRI 
로 접 수하기 위하여 기 본사무실 에 서 모피를 리용한다면 호출이 회 선의 BRI 측으로부 
터 개 시 된다는것 을 기 억하여 야 한다. 


구성과일들의 보관 

지금까지 론의한 망재난의 해결책들은 모두 봉사의 유용성에 대하여 취급하였다. 이 
장의 앞에서 언급한바와 같이 잃어 버 린 정보를 다시 회복할수 없는 한 재난회복은 완성 
될수 없다. 이 경우 망을 따라 흐르는 자료에 대하여는 문제가 되지 않는다. 규약들은 
이 정보가 없어 지지 않았다는것을 확인할수 있게 해춘다. 실제로 관심하여야 할것은 경 
토기 나 교환기 그리 고 집선기 들을 프로그람화하는데 리용되 는 구성파일 들이다. 

망장치 가 고장나면 그안에 프로그람화된 구성정 보를 잃을것 이 다. 어 떤 사람들은 구 
성정보를 리용할수 없는 상태로 변화시킬수도 있다. 만일 이러한 경우가 발생하면 구성 
파일의 여벌복사를 가지고 있다가 원래의 설정을 회복하는것이 좋다. 이것은 또한 망에 
언제 어떤 변화가 생겼는가를 알려고 할 때 효과적 이다. 

말단경과기록 

자기 의 구성정 보를 보관하는 가장 쉬 운 방법 은 말단경 과기 록이 다. 대 부분의 말단모 
방 및 telnet 프로그람들은 말단화면으로 흐르는 모든 정보들을 기록하는 방법들을 가지고 
있다. 망장치 가 모든 구성정 보를 보여 주는 단일지 령 을 가지 고 있 다면 이 정 보를 후에 
재 생 하기 위하여 말단경 과기 록을 리용할수 있 다. 

Cisco 경 로기 나 교환기 와 갈은 일 부 장치 들은 그 장치 를 구성 하기 위하여 이 정 보를 
말단화면에 보여 주게 한다. 실례 로 write term 지 령 은 모든 구성 정 보를 말단화면에 표시 
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한다. 이것은 이 구성정보가 쉽게 기억되도록 한다. 만일 장치가 후에 고장나면 새로운 
장치로 말단대화를 열고 구성방식에 넣는다. 원래 장치의 원래구성을 오려둠판에 복사하 
고 ( Notepad 나 Wordpad 를 리 용하여 ) 그것 을 새 장치 에 련결된 말단화면에 붙여 야 한다. 
그 구성정보를 보관하면 새로운 장치가 준비된것으로 된다. 

말단경과기록의 약점은 그것이 구성을 위하여서만 동작한다는것이다. 조작체계를 기 
억 시 킬수는 없다. 또한 망장치 가 모든 구성 정 보를 표시하는 단일지 령 을 제 공하지 않으면 
구성을 기록하는 과정은 길어 질수 있다. 

TFTP 봉사기 

TFTP 는 FTP 와 류사한데 전송층규약으로서 UDP 를 리용하며 어떠 한 형 태의 인증도 
리용하지 않는다. 의뢰기 가 파일을 TFTP 봉사기 로부터 검 색하거 나 파일을 TFTP 봉사기 
에 보관할 때 파일 의 이 름과 TFTP 봉사기 의 IP 주소만 알면 된다. 인증하거 나 새 로운 
등록부를 변화시키 도록 하는 지 령파라메터 들은 없 다. 

TFTP 는 인증이 없으므로 방화벽 을 리용할 때 문제 가 생 길수 있다. 그러 나 대 부분의 
망장치 들은 구성정 보를 보관하거 나 회 복하기 위하여 TFTP 를 지 원 한다. 하나의 TFTP 봉 
사기 는 망우의 매 장치 에 대 한 구성파일 들은 기 록할수 있다. 만일 망우의 한 장치 가 고 
장난다면 간단히 그것 을 접 속하고 IP 주소를 할당하며 TFTP 를 리용하여 요구되 는 구성파 
일을 복구할수 있다. 


일러두기 

대 부분의 제 작자들은 최 신의 조작체 계 를 가지 고 장치 를 구성 하기 위하여 TFTP 를 
리용한다. 이것은 요구되 는 구성을 가지 고 TFTP 봉사기우에서 안정한 조작체 계를 
유지할수 있 다는것 을 의 미한다. 장치 를 교체할 때 TFTP 를 리용하여 TFTP 봉사기 로 
부터 조작체 계 와 구성파일 을 적 재한다._ 


망장치 로부터 구성정 보를 보관함으로써 망재 난으로부터 될수록 빨리 회 복할수 
있 다. 


봉사기재 난 

앞에서는 어떻게 하면 망이 고장에 더 잘 견디도록 할수 있겠는가에 대하여 보았 
다. 여기서는 봉사기에 관한 문제들을 고찰하기로 한다. 봉사기가 재난에 견더도록 하는 
데 는 여 러 가지 의 준비된 선택안들이 있다. 제 한인자는 비 용문제이 며 또한 어 떤 경 우에 는 
해결책들이 모든 플래트홈에서 다 쓸수 있다고 볼수는 없으므로 조작체계도 문제로 된 
다. 봉사기재난방지는 보통 비용이 많은 드는것으로 알려 져 있으며 여기서는 단일체계 
에서의 비용에 대하여서만 고찰할수 있다. 
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무정전전원 ( UPS ) 

모든 콤퓨터들이 깨끗하고 안정한 전원을 요구하지만 특히 콤퓨터가 봉사기로 쓰일 
때에는 더욱 중요하다. 왜냐하면 많은 사용자들이 봉사기에 의존하기때문이다. 좋은 전 
원이란 정전되지 않는 전원이 아니라 전압요동과 급격한 변화에 영향 받지 않는것을 말 
한다. 10%만한 전원요동이 콤퓨터에서 오유조건으로 된다. 

낮은 전압이나 정전은 체계가 재기동하기때문에 쉽게 포착할수 있으나 요동이나 
급격한 변화 그리고 잡음 등은 응용프로그람의 오유와 같은 미묘한 문제들을 일으킬수 
있 다. 


전원문제에 대한 추적 

한 경 험 자는 한 의 뢰 자의 NetWare 봉사기 에서 의 여 벌복사프로그람과 관련 한 한가 
지 문제를 해결한적이 있었다. 처음에는 여벌복사프로그람이 CPU 를 100% 리 J •하기때 
문에 그 봉사기 가 기능을 못하는것처 럼 보였다. 그런데 이 문제는 여 벌복사 3 정의 우 
연적인 단계 에 서 일 어 나군 하였 다. 이 상한것 은 의 뢰 자가 매 일 밤 여 벌 복사프 ^그람을 
돌렸지 만 문제 는 월요일 과 목요일 7시 30분부터 8시 사이 에 만 발생하군 하였 다. 

사업 시 간에 는 이 문제 가 발생하지 않았다. 모든 수정프로그람을 설 치하“ 모 효과 
가 없었다. 

한 경험자는 이 문제를 알아 보기 위하여 목요일밤에 늦게까지 거기에 X 었다. 7 
시에 청소부가 나타나서 휴지통을 버리고 주단을 흡진기 로 청소하기 시 작하영 다. 7시 
40분경에 청소부가 그 방의 밖에 있는 전원접속구에 흡진기전원을 넣었다. 

흡진기의 전원을 뽑자마자 문제가 발생하였다. 흡진기를 뽑을 때 생긴 전 i 충격에 
의하여 즉시 봉사기 의 CPU 가 비 정 상상태 로 되 였 다. 경 험 자가 청 소부에 게 매 ! 밤 흡 
진기로 청소하는가고 물었더니 그는 월요일과 목요일에만 흡진기로 청소한다그 대답하 
였다. 결국 그 의뢰자는 다음날에 무정전전원을 구입하였고 문제는 해결되였디 


일러두기 

좋은 무정전전원은 콤퓨터체계에서도 필요하지만 봉사기에 대하여서는 필수적인 설 
비로 간주되여야 한다. 지능적인 무정전전원은 전원이 일정한 시간동안 비정상이면 
그 봉사기의 전원을 차단하는 프로그람을 가지고 있다. 또한 무정전전원을 쓰면 축 
전지전원이 다 방전하여도 봉사기가 고장나지 않도록 할수 있다. 


저가격 디스크묶음 ( RAID ) 

RAID 또는 예 비디스크묶음은 하드디스크파괴 에 대 한 고장견덤성 을 제 공할뿐아니 라 
체계성능도 개선할수 있다. RAID 는 자료를 여러개의 하드디스크들에 보관한다. 또한 여 
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러개의 디스크가 큰 파일을 보관하기 위하여 동시에 함께 동작할수 있으므로 성능이 개 
선된 다. 

리 용하고 있는 RAID 의 준위 에 따라 체 계 는 오유정 정 부호 ( ECC ) 라고 하는 기 우성 정 
보도 보관할수 있다. 어떤 RAID 체 계들은 동작중에 교체 가능하다. 이것은 콤퓨터 가 리용 
되 는 상태 에서 구동기 를 교체하므로 정지시 간이 0이 다. 

RAID 는 하드웨 어 또는 쏘프트웨어 로 실현될수 있 다. 하드웨 어 RAID 에 서 RAID 는 조 
작체 계 에 하나의 론리디 스크처 럼 보인 다. 쏘프트웨 에 IAID 는 현존조작체 계 의 부분이 거 나 
또는 추가쏘프트웨어의 프로그람코드이 다. 쏘프트웨 에 IAID 는 보통 하드웨 어 RAID 보다 
느리다. RAID 는 RAID 0 〜 RAID 5의 준위로 되여 있다. 


추 __°1 

RAID 6 〜 RAID 10도 있으나 이것은 원래의 6개 종류의 단순한 변종들이다. 


RAID 0 

RAID 0은 정 확히 말하여 성 능상의 리 득을 위하여 사용되 며 고장견딤성 은 제 공하지 
않는다. RAID 0은 파일을 하나의 디 스크에 보관하는것 이 아니 라 여 러개의 하드디 스크들 
에 나누어서 보관한다. 이것은 구동기들이 기억부하를 공유하게 하여 성능을 개선하지만 
하나의 디스크파괴가 전체 묶음에 영향을 주므로 고장기회는 증가한것으로 된다. 이와 
같이 고장견딤성 이 약한것으로 하여 RAID 0은 널리 쓰이지 않는다. 

RAID 1 

RAID 1은 매 디스크에 모든 파일정보의 완전한 복사본을 가지고 있다. 이로하여 
RAID 1은 디스크거울이라고도 한다. 하나의 디스크가 고장난다고 하여도 나머지 매 디 
스크들은 전체 파일체계의 모든 복사본을 가전다. 이것은 임의의 한 디스크의 고장에 의 
한 체 계파괴를 막는다. 이 것은 또한 체 계용량이 단일 디스크의 크기 로 제 한된다는것을 
의 미 한다. 다시 말하면 곡같이 거 울화된 2개 의 4 GB 구동기 들이 있 다면 8 GB 가 아니 라 
4 GB 만을 쓸수 있다. 

RAID 1디스크묶음은 사실상 하나의 디스크보다 더 잘 동작한다고 볼수 없다. 그것 
은 디스크조종기가 매개 구동기에 매 파일의 완전한 복사를 보내야 하기때문이다. 이렇 
게 하면 속도는 가장 느린 디스크보다도 더 느리게 된다. Novell 은 디스크거울화의 한가 
지 변종으로서 디 스크중복이라는 기 술을 개 발하였 다. 디 스크중복은 디 스크거 울화와 같은 
방법으로 동작하지만 여러개의 조종기카드들을 리용한다. 이렇게 하면 매개 조종기가 하 
나의 구동기와만 통신하면 되므로 성능이 떨어 지는것을 막을수 있다. 디스크중복은 체 
계 가 구동기 고장뿐아니 라 조종기 고장에 도 견덜 수 있으므로 고장견덤성 도 증가시키 는것 으 
로 된다. 

RAID 2 

RAID 2는 RAID 5와 류사한데 자료는 한번에 한바이트씩 디스크에 보관된다. 또한 
하나의 구동기 고장이 묶음전체 의 고장으로 이 어 지 는것 을 막기 위하여 오유수정 이 리용 
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된다. 다른 RAID 묶음들에서 사용되 는 블로크방식자료전송은 RAID 2에서 쓰이 는 바이 트 
방식보다 훨씬 효과적이다. 이것은 RAID 2는 여러개의 작은 파일들을 취급할 때 성능이 
나쁘다. 그러므로 RAID 2는 널리 쓰이지 않는다. 

RAID 3과 RAID 4 

RAID 3과 RAID 4는 RAID 3이 3개 의 디 스크를 리 용하고 RAID 4가 4개 의 디 스크를 
리용한다는것 을 제 외 하고는 같다. 이 RAID 들은 오유정 정 에 하나의 디 스크를 리용하며 
나머지 디스크들에 는 자료를 나누어 보관한다. 다시 말하여 RAID 4묶음에서 디스크 1〜 
3은 나누어 진 자료들을 포함하며 디스크 4는 오유정정에 쓰인다. 이것은 묶음이 하나의 
디스크를 잃는것으로 된다. 

ECC 는 본질에 있어서 모든 다른 하드구동기들에 보관되여 있는 자료의 수학적인 
더 하기 이다. 이 ECC 값은 매 블로크단위 로 계산된다. 실례로 다음의 수학문제를 고찰 
해 보자 . 


3+4 + 2 + 6 = 15 

식의 왼변의 모든 값들은 RAID 4묶음의 매 자료디스크우의 특정의 블로크에 기억된 
자료를 표시한다. 기 우성 구동기 의 같은 블로크에는 그 합이 보관된 다. 이 제 디 스크 3이 
파괴 되 고 이 블로크집 단에 하나의 파일 요청 이 발생 하였 다고 하자. RAID 묶음에는 다음과 
갈은 문제가 제기된다. 


3 + 4 + ? + 6 = 15 

알수 있는바와 같이 모르는 값을 쉽게 구할수 있다. 

이것은 얼마간의 처리를 요구하며 따라서 디스크접근을 좀 느리게 하지만 묶음은 잃 
어버린 자료를 재생하며 파일정보를 복귀한다. 이 실례는 매우 단순하지만 RAID 3〜5가 
어떻게 디스크고장를 회복하는가를 명백히 보여 준다. 

하나의 디 스크를 리용하는것 에 대 한 실례 를 보기 로 하자. 여 기서 는 고장견덤 성 을 제 
공하는데 보다 적은 기 억을 리용한다. 자료는 하나의 디스크를 제외한 전체 디스크에 보 
관되므로 RAID 3 또는 RAID 4묶음의 전체 기억용량은 전체 디스크에서 하나의 디스크 
용량을 뺀것과 같다. 다시 말하여 RAID 4구성 에서 4개의 4GB 구동기들을 가진다면 쓸수 
있는 용량은 12GB 이다. 

RAID 5 

RAID 5는 RAID 3과 RAID 4와 비숫하나 모든 디스크들이 다 자료와 ECC 보관에 리 
용된다. 이것은 기우성구동기에서 병목문제를 가지는 RAID 3이나 RAID 4보다 속도를 
개 선 한다. 또한 RAID 5를 통하여 서 는 5개 이 상의 구동기 들을 리용할수 있 으므로 기 억 용 
량문제도 개선된다. RAID 3이나 RAID 4와 같이 전체 기 억용량은 모든 디스크들의 기억 
용량에서 하나의 디스크의 기억용량을 던것과 같다. RAID 5는 지금까지 디스크거울화후 
에 가장 널 리 쓰이 는 RAID 묶음이다. 
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여유봉사기 

봉사기여유는 RAID 의 개념을 전체 콤퓨터에 적용한다. 이것을 때로 봉사기고장견덤 
성 이 라고도 하는데 원래의 하나가 파괴되는 경우에 쓸수 있는 하나 또는 몇개의 체 계들 
을 제공한다. 이것은 고장이 구동기고장이나 기억기고장 또는 지어 모판고장이라고 해도 
문제 로 되 지 않는다. 원래 의 봉사기 가 요청 에 대 한 응답을 중지하면 여 분체 계 가 넘 겨 받 
는다. 

그림 12-3 에서 보여 준바와 같이 여분봉사기들은 보통 2대의 통신통로들을 공유하고 
있다. 하나는 봉사기 들의 망련결 이고 하나는 두 체 계사이 의 고속련결이 다. 실현에 따라 
이 련결은 전용통신기판이 나 또는 100 MB 이씨 네 트기판을 리용하여 실현될수 있다. 갱 신 
내용은 고속련결을 통하여 2차봉사기에 조종된다. 실현에 따라 이 갱신내용은 디스크 정 
보로 될수도 있고 기 억 기 주소정보를 포함할수도 있 다. 


죽 __°1 

기억기주소정보가 포함되면 2차봉사기는 봉사를 중단시킴이 없이 1차봉사기로 전환 
될수 있다. 



100MB 봉사기 련결 


그림 12-3. 여벌봉사기구성 

모든 여벌봉사기들이 다 고속련결을 포함하고 있는것은 아니다. 실례로 이 장의 마 
감에 서 보게 되 는 Octopus 는 정 보를 교환할 때 봉사기 의 망련결 을 리 용한다. Octopus 는 
두 체 계 들사이 의 고속련결을 요구하지 않는다. 현존 망을 리용하는 우점 은 2차봉사기 가 
아무곳이 나 지 어 원격 설 비 에 도 위 치 할수 있 다는것 이 다. 2차봉사기 가 먼 곳의 다른 위 치 
에 안전하게 있을수 있으므로 그것의 설치는 화재 나 번개，폭풍과 갈은 설비관련고장문 
제들에 대하여 매우 견딤성 이 높다. 

만일 두 체 계사이 에 련결 이 없다면 기 억기정보는 공유되지 않으며 2차봉사기 는 1차 
봉사기를 즉시 에 교대할수 없다. 1차봉사기 에 이미 전송된 의뢰기요청은 시 간초과되며 2 
차봉사기의 봉사를 받기전에 재설정된다. 이것은 2차봉사기가 쓰이기전에 lmin 혹은 
2 min 의 지 연을 가져 온다. 또 다른 결함은 망의 리용률이 증가된것 이 다. 이것은 모든 
정 보가 두 체 계사이 의 개 별적 인 련결 이 아니 라 망을 통하여 공유되 기 때 문이 다. 
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봉사기 여유는 조작체 계준위 에 서 또는 추가제 품으로 실현될 수 있다. Novell 의 SFT - 
III 과 Microsoft Cluster Server ( MSCS ) 는 조작체 계 준위 에 서 여 벌 봉사기 들을 지 원 하는 좋 
은 실례로 된다. 여벌봉사기지원을 추가할수 있는 Vinca , Network Integrity , Qualix 
Group 와 같은 회사들의 제품들도 많다. 무엇을 선택하는가 하는것은 요구에 의존할것 
이다. 매 제품들은 조금씩 차이나는 형태로 여벌봉사기들을 지원한다. 

클라스51 화 

클라스터화는 여벌봉사기와 류사한데 여기서는 모든 체계들이 봉사요청을 처리하 
는데 참가한다. 클라스터 ( cluster ) 는 통신량부하균형 을 맞추기 위 한 지 능단위 로 동작 
한다. 의뢰기의 관점에서 보면 클라스터는 하나의 매우 빠른 봉사기로 볼수 있다. 봉 
사기가 고장나면 처리는 계속되지만 그 성능은 떨어 진다. 클라스터화가 봉사기여분 
보다 더 매혹적인 리유는 2차체계가 실제적으로 처리에 참가한다는데 있다. 그것들은 
다른 하나의 체계가 고장날 때까지 기다리지 않는다. 이것은 하드웨어의 리용률을 크 
게 높일수 있게 한다. 


Unux 클라스터화 

콜라스터 화의 한가지 좋은 실례 는 NASA 의 Goddard 우주비 행 쎈 터 (< 해이의 
Beowulf 계 획 이 다. 1994년에 NASA 의 우주정 보과학웬터 ( CESDIS ) 는 16개 의 Lim x 체 계 를 
함께 콜라스터화되게 하였다. 3.# 체계는 Intel 의 486 DX 4 100 MHz 소편에 : 1 초하고 
있었으며 콜라스터의 전체 가격은 5만딸라이하였다. 콜라스터화된 체계들사 o 의 통신 
은 하나의 100 MB 이 씨네 트망을 리용하였 다. 목적 은 우주과학연구에 쓰이 고 X 는 높은 
급의 워크스테 이션기능을 값 눅게 실현하는것이였다. 

결과적인 콜라스터는 초당 1.2 기가의 류동소수점연산 ( Gigaflop ) 의 처리속그와 원래 
체계의 8배 인 디스크입 출구대역너 비를 가지 였다. 이 Linux 믈라스터는 그것보！^ 4〜5배 
비싼 대형콤퓨터와 류사한 성능을 가진다. 


클라스터화는 고장견딤성 과 성 능을 다같이 높이 는 우수한 방법 이며 UNIX 와 VMS , 
Microsoft NT 와 2000에서 쓸수 있다. 


자료의 여벌복사 

자료의 2중복사는 항상 재난이나 손상，손실을 막는 가장 좋은 방법 이 다. 전통적인 
방법 은 레 프에 의 거하지 만 새 로운 여 벌 복사방법 들은 인 터네 트에 기 초하고 있 으며 외 부싸 
이트에 로의 보관을 제공한다. 
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테프여벌복사 

대부분 망관리자들의 주요수단인 테프여벌복사는 손실, 손상되였거나 또는 지워 진 
정보들을 보호 및 회복하기 위한 방법이다. 지금까지 고찰한 봉사기에 기초하고 있는 방 
법들은 모두 봉사기를 하나의 봉사로서 유지 또는 회복하는데 기본을 두고 있다. 그러나 
3개월전에 지워 진 파일을 회복할수 있는 방법은 없다. 그러므로 테프가 여벌복사로써 
리용되 게 된 다. 그것 의 우점 은 봉사기 에 보관된 정 보들을 안전하게 지키 는데 있 다. 


죽 __°1 

파일 을 회 복하는 능력 은 UNIX 나 Windows NT 를 파일봉사기 로 리용할 때 훨씬 더 
중요하다. 이러한 조작체계들은 지워 진 망파일들을 회복하는 기능을 가지고 있지 
못하다. 


대 부분의 여 벌 복사쏘프트웨어 는 어 느 파일 을 레 프에 기 록하여 야 하는가를 선택 하기 
위한 3가지 방법 을 지 원 한다. 이 방법 들은 다음과 갈다. 

• 완전여벌복사 

• 증분식여벌복사 

• 차분식여벌복사 

완전여벌복사 

완전여벌복사는 이름그대로 봉사기의 모든 파일을 다 기록한다. 완전여벌복사는 재 
난회복에 가장 좋은 방법이다. 그것은 전체 파일체계의 완전한 복사를 하나 또는 여러개 
의 레 프에 보관한다. 완전 여벌 복사를 수행하는데 서 문제 는 다른 방법 들에 비 하여 시 간이 
오래 걸리는것이다. 많은 량의 정보(실례로 mGB 이상)를 여벌복사할 필요가 있을 때 매 
일 밤 완전여벌복사를 수행하는것은 불가능할수도 있다. 

증분식여벌복사 

증분식여벌복사는 최근에 추가되였거나 변화된 파일들만 레프에 복사한다. 이것은 
마지 막여벌 복사가 수행 된 때 로부터 변화된 파일들만을 기 록하여 여 벌 복사과정 을 촉진시 
킨다. 대 표적 인 방법 은 한주일 에 한번 완전여벌복사를 수행 하고 그다음 매 일 밤 증분식 
여벌복사를 수행하는것이다. 봉사기를 재구성할 때에는 먼저 완전여벌복사를 진행하고 
그것 이 수행 되 면 그다음부터 는 매 번 증분식 여 벌 복사를 청 소한다. 

증분식 여벌복사의 한가지 결함은 그것 이 지 우기를 추적하지 못하는것 이 다. 이것은 
가지 고 있는 용량보다 더 많은 자료를 회 복할수 없게 한다는것을 의미한다. 실례 로 표 
12-1 을 보자. 파일정보가 들어 있는 12 GB 구동기를 가지고 있다고 하자. 월요일 첫 시간 
에 10 GB 의 파일을 이 디스크에 보관하였다. 낮에 1 GB 의 파일정보를 추가한다. 저녁에 
완전여벌 복사하여 레 프에 11 GB 의 자료를 쓴다. 

화요일 첫 시간에 12 GB 중 11 GB 의 기억용량이 쓰인것으로부터 시작한다. 낮에 1 GB 
를 추가하고 3 GB 를 지 웠다. 그날 마지 막에 증분식 여벌복사를 진행하여 1 GB 의 새 로운 
자료를 레프에 기록한다. 
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표 12-1 증분식여 벌복사에서의 기 억용량문제 


요 일 

리용된 용량 

파일 추가 

파일지 우기 

테프에 보관한것 

월요일 

10GB 

1GB 

0GB 

11GB 

화요일 

11GB 

1GB 

3GB 

1GB 

수요일 

9GB 

2GB 

0GB 

2GB 

목요일 

11GB 

1GB 

3GB 

1GB 


수요일 첫 시간에는 12 GB 중 9 GB 의 기억용량이 쓰이였다. 2 GB 의 파일을 추가하고 
증분식 여벌 복사를 수행하여 2 GB 의 자료를 디 스크에 기 억한다. 목요일 에 는 1 GB 의 자료 
를 디스크에 기 억 하고 3 GB 를 지운다. 1 GB 의 자료를 증분식 으로 레프에 여 벌복사한다. 
목요일 마지 막시 간에는 12 GB 중 9 GB 를 가지 게 된다. 

금요일 아침에 누군가가 12 GB 구동기의 모든 파일들을 지 웠다는것을 발견한다. 즉시 
여 벌복사쏘프트웨어 를 기동하여 월요일 에 진행한 완전여벌복사를 회 복한다. 그다음 화요 
일 증분레프를 적재하고 그것도 회복한다. 화요일 레프가 회복과정을 끝내기전에 봉사기 
로부터 《디스크공간부족》오유통보가 나타난다. 앞으로 회복하여야 할 3 GB 의 자료가 
있는 두개의 레프가 있지만 12 GB 구동기에는 남은 기억공간이 없다. 이 실례에서 기억용 
량문제 는 증분식 여 벌 복사의 결 과이 다. 이 러 한 리 유로 대 부분의 체 계 관리 자들은 증분식 여 
벌복사대 신에 차분식 여벌복사를 수행한다. 

차분식여벌복사 

차분식여벌복사는 완전여벌복사가 마지막으로 수행된 다음부터 변화된 모든 파일들 
을 여 벌복사한다는 의미 에서 증분식 여벌복사와 다르다. 차분식 여벌복사는 파일들을 마지 
막여벌복사의 시 작부터 여 벌복사하지 않는다. 실례 로 월요일 에 완전여벌복사하고 그다음 
에 는 매 일 밤 차분식 여벌 복사를 진 행하면 목요일 밤에 수행 된 차분식 여벌 복사는 화요일 
부터 목요일사이 의 모든 파일변화를 포함한다. 이 것은 증분식 여벌복사를 회 복하는데서 
본 용량문제들을 극복할수 있게 한다. 가능하지만 이 문제는 거의 제기되지 않는다. 

증분식 여벌 복사에 비한 차분식 여벌 복사의 우점 은 또한 봉사기 가 파괴 된후 두개 의 테 
프만 회 복할것 을 요구한다는것 이 다. 이 것은 처 리를 촉진시키며 오유의 기회 를 줄인다. 
실례 로 표 12-1 을 보시오. 증분식 여벌복사에 대 하여서는 모든 자료를 회복하자면 4개의 
레 프들을 회 복하여 야 한다 . 차분식 여벌 복사를 수행하면 2개 만 하면 된 다. 


일러두기 

레 프여 벌 복사는 한해 또는 그이하의 레 프보관기 간에 는 유용하다. 정 보를 더 오래 
기억시키려면 어떤 형래의 광학매체를 리용하거나 적당한 환경에서 테프를 보관하 
여 야 한다. 


인터네트여벌복사 

여 벌 복사의 또 한가지 방법 으로 인 터네 트여벌 복사를 쓸수 있 다. 인터네 트여벌 복사는 
주로 원격 관리 되 는 큰 봉사프로그람묶음에 서 리 용된다. Connecoted TLM 과 같은 제 품들 
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은 자동적으로 그리고 규칙적으로 암호화된 자료를 기관으로부터 복사하고 그것을 보안 
시설안에 있는 바깥싸이트에 보관한다. 인터네트여벌복사의 우점은 다음과 같다. 


낮은 관리비용 인터네 트여벌복사는 기 관의 내 부 IT 담당자의 간섭 이 나 감시 가 없 
이 진행된다. 

위험감소 자료는 언제 나 외 부싸이트에 보관되 므로 현재 싸이트의 재 난에 의하여 
자료가 영구적으로 파괴될 위험은 없다. 자료가 레프에 보관되지 않으므 
로 소유하고 있는 믿음직한 자료를 도적 에게 잃을 위험 이 보다 적 어 진 
다. 


인 터 네 트여 벌 복사에 는 다음과 같은 약점 들도 있 다 . 

속도 T 1 를 리용한 여벌복사에서도 매우 많은 시간이 소비된다. 대역너비는 계 
속 증가되 고 있 지 만 그것 은 자료의 증가속도에 비해 볼 때 보잘것 없 는것 
이다. 실례로 450 MB 의 파일을 T 1 련결을 통하여 여벌복사하는데 2〜3시 
간이 걸린 다. 

회복성 인 터네 트여벌 복사로부터 자료를 회 복하는데 드는 시 간은 국부여벌복 
사에서보다 더 큰데 이것은 련결의 낮은 속도때 문만이 아니 다. 여 벌복 
사봉사의 요구와 자료의 배치，과정의 기동은 이미 느린 전송속도를 
보다 더 느리게 한다. 

이러한 약점에도 불구하고 일부 기관들은 인터네트여벌복사를 전반적인 자료회복해 
결책의 중요한 부분으로 추가하고 있으며 자료의 손실을 막는 추가적인 수단으로서 외부 
싸이트기억 용량의 우점 을 리용한다. 

응용프로그람봉사제공자 

응용프로그람봉사제 공자 ( ASP ) 는 한가지 독특한 방법 으로 봉사기 고장과 자료손실 문 
제 를 해 결한다. 모든 자료봉사들은 바깥에 있고 말단사용자의 뢰기응용프로그람만이 기 관 
안에 서 국부적 으로 실행 되 고 있다. 모든 자료와 봉사는 인터네 트를 통하여 주관된다. 
ASP 는 이때 자료뿐아니라 전체 응용프로그람의 리용성과 여유성을 담보할 책임을 진다. 

이것은 새 로 나타난 방법 이지 만 자기의 IT 전문가나 하드웨 어 및 쏘프트웨어 기반을 
유지할 비용이 없는 작은 기관들에 대 하여서는 리상적 인것으로 되고 있다. 보다 큰 기관 
들에 서 도 ASP 를 리용하는것 은 리 득으로 되 고 있 다. 

ASP 를 리용할 때 의 약점 은 명 백하다. 인 터네 트련결 이 고장나면 응용프로그람이 
나 자료에 접 근하기 위하여 의 지할것 이 없어 지 게 된다. ASP 와 관련한 계 산 또는 봉 
사론의는 자료에 접 근하지 못하며 문제 가 해 결될 때 까지 사업 이 중지 된다는것 을 의 미 
할수도 있다. 

또한 봉사수정 은 하나의 회 사에 국한된 다. ASP 들사이 의 교환은 어 려울수 있 으며 자 
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료의 이식성은 불가능하므로 해 당한 기관은 아무러한 자원이 없이 남아 있게 된다. 

봉사기회복 

레프여벌복사가 파일정보를 보호하는데는 좋으나 봉사기를 회복하는데 그리 효과적 
이지 못하다. 봉사기가 완전히 고장나고 새로운 하드웨어플래트홈에 봉사기를 재구성하 
여 야 한다고 가정하자. 

이러한 과제는 다음의 단계로 수행된다. 

1. 봉사기조작체계의 설치 

2. 요구되는 구동기들의 설치 

3. 요구되는 봉사프로그람들의 설치 

4. 요구되는 수정 및 보안프로그람들의 설치 

5. 여벌복사프로그람의 설치 

6. 여 벌 복사프로그람에 필 요한 수정프로그람들의 설 치 

1 . 완전여벌복사레 프의 회 복 

8. 요구된다면 증분식 또는 차분식레프들의 회복 

이것은 명백히 시간소비형 및 로동집약형과정이다. 이러한 과제를 하루동안에 진행 
한다는것은(특히 많은 량의 자료를 리용하는 경 우에 ) 하나의 자그마한 기적 이 라고 말할 
수 있 다. 

한가지 방법 은 봉사기 회복을 위하여 특별 히 설계 된 프로그람묶음을 리용하는것 이 
다. 이 프로그람묶음들은 봉사기의 원상을 따라서 몇개의 기동디 스크들을 만든다. 기동 
디스크들은 체계가 조작체계없이 기동할수 있게 한다. 봉사기회복쏘프트웨어는 그다음 
이전에 창조된 원상에 접근하여 모든 자료를 봉사기에 회복한다. 봉사기가 재기동되면 
동작을 중지 한다. 

일 부 제 작자들은 봉사기 회복프로그람이 여 벌 복사과정 과 직 접 통합되 게 만든다. 실 례 
로 Computer Associates 의 ARCServe 는 여 벌 복사프로그람파 봉사기 회복프로그람을 둘다 
가지 고 있 다. ARCServe 를 리 용하여 매 일 밤 여 벌 복사를 수행 하면 ARCServe 재 난회 복의 
한가지 복사도 엄어 진다. 이것은 회복과정이 ARCServe 여벌복사레프를 읽을수 있기때문 
이 다. 그러 므로 회 복프로그람은 마지 막완전여벌복사할 때 의 구성 으로 봉사기 를 자동적으 
로 회 복한다. 

만일 봉사기 회복프로그람을 다른 회 사에 서 구입 한다면 원상파일 을 따로 유지 하여 야 
한다. 

봉사기회복방법의 한가지 약점은 전체 체계를 하나의 형태로 보관한다는것이다. 이 
것은 여벌복사와 회복과정을 촉진하지만 또한 개별적인 파일들에 접근할수는 없다는것을 
의 미 한다 . 봉사기 회 복문제 에 대 하여 서 도 때 때 로 잃 어 버 린 파일 을 교체 하는데 규칙 적 인 
여벌복사방법이 필요하다. 
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재난의 모의 


지금까지는 어떻게 하면 망이 고장에 더 잘 견더도록 하며 그런 고장이 생길 때 어 
떻게 하면 그것을 회복할수 있겠는가에 대하여 보았다. 그러나 이것은 재난을 완전히 회 
복하는데 충분하지 않으며 역시 그 해결을 검사하고 문서화하여야 한다. 검사는 회복계 
획 이 정 확히 동작하도록 담보하는 유일한 방도이 다. 이 과정을 문서 로 만드는것은 재 난 
이 생겼을 때 정확한 행동이 진행되도록 담보하는 유일한 방도이다. 

비파고 I 형검사 

비파피형검사는 정상적 인 사업 에 영향을 주지 않고 재 난방지와 회복계획을 검사할수 
있게 한다. 이것은 비교적 합리적인 검사방법이다. 즉 검사가 진행되는 동안 재난이 일 
어 나면 안된다. 실례로 일요일 아침 9시는 봉사기의 구동기묶음의 동작중교환방법을 검 
사하는데 가장 좋은 시간이 아니 라고 할수 있다. 


재난모의의 중요성 

재 난회복방법을 검사하는것 이 중요하다는것을 알아야 한다. 나는 언제인 7 설비와 
관련한 재 난회복방법을 실현하려고 하는 회사와 상담한적 이 있다. 그 회사는 극 체 건물 
에 화재가 일어 나는 경우 96 h 동안에 원격설비에서 회복하고 정상과정에로 들。가기를 
원하였다. 원격설비 가 외부싸이트레 프기 억으로 리 용되므로 대부분의 자료가 여 i 복사테 
프를 통하여 이 설비에로 이동되여야 하였다. 

이때에는 재난을 모의할 때에만 작은 결함이라도 발견할수 있다. 기본생.]:봉사 7 1 
에 들어 있는 DEC 테 프구동기 는 교체봉사기 의 테 프구동기 와 호환되 지 않았다 생 산봉 
사기 의 테 프구동기 는 낡았으며 그 레 프들을 읽 을수 있는 다른 구동기 를 얻 ■! 수 없었 
다. 이 런것 으로 하여 회복은 96 h 이상 걸렸다. 

두가지 해결책이 있다. 

• 생산봉사기의 테프구동기를 교체봉사기의것과 같은 모형으로 교체한다 

• 테프구동기의 갱신은 두 체계에서 꼭같이 진행되여야 한다. 


비파괴 적검 사에 는 여 러 가지 방법 이 있다. 가장 명 백한것 은 재 난을 모의하기 위하여 
또 하나의 하드웨 어 를 리용하는것 이 다. 실례 로 자기 의 생 산봉사기 와 같은 다른 봉사기 를 
리용하여 이 봉사기 에 여 벌 복사를 보관할수 있 다. 

그러나 회복계획을 검사하기 위하여 여분의 체계를 가지기는 어렵다. 이러한 검사를 
실현하기 위하여 명절이나 주말을 리용할수 있으나 실제적인 재난을 모의하기는 어렵 
다. 그러나 어쨌든 재난을 모의하는것은 실제적인 재난이 발생하였을 때 그것을 완전히 
회복하도록 담보하는데 도움이 된다. 
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처리과정의 문서화 


망검사를 모의하면서 오랜 시간을 보내는것보다 더 불편한 한가지 문제는 문서를 작 
성하는것이다. 망관리진영과 떨어 져 있으므로 매일의 회복작업을 유지하는것이 어렵 
다. 그러나 추가적인 재해와 문서탐색은 혼자서 모의하여야 한다. 이러한 경우에 정확한 
하나의 방법에 기초하여 실제의 재해가 일어 날 때를 구체적으로 예상하여 모의하여야 
한다. 손상된 봉사 또는 지워 진 정보를 다시 적재하는것이 복잡하고 시끄러운것은 사실 
이다. 정확한 방법을 가지고 처리과정을 문서화하여야 한다. 주의를 집중한다면 훨씬 더 
빨리 이 러 한 문제들을 수행 할수 있을것 이 다. 물론 여기 에는 난점들을 해결하는 방법들의 
람색도 포함된다 . 봉사를 재 적재 하는것 이 어 려운 경우에 처 리과정 을 문서화하는것 은 앞 
으로의 봉사회복을 위하여 반드시 필요한것이다. 

Windows 2000 과 Windows NT 에서 Octopus 

Legato Octopus 는 Windows 200 파 Windows NT 망들을 위한 실시 간 자료보호와 봉사 
기유용성을 제공한다. 그것은 원천체계에서 선택된 파일들의 갱신내용을 포착하여 LAN 
이 나 WAN 을 통하여 사용자가 지정한 목표체계로 보낸다. 매 지정된 파일의 최근의 복 
사판이 원천위 치 에 서 의 자료의 손실 이 나 하드웨 어 고장에 대 처 하여 항상 망에 준비 되 여 
있 다. 

Octopus 목표가 Octopus 원천 이 정지되 였 다는것 을 검 출하면 Octopus 목표는 그것 을 대 신 
하여 요청에 응답한다. 다시 말하여 Music 라는 주식을 광고하는 Brooke 라는 체계가 있으 
면 UNC 이 름 (Uniform Naming Convention : 단일 이 름짓 기 협 약)은 \\ Brooke\Music 로 된 다. 봉 
사기 Brooke 가 파피된 다면 Octopus 목표가 대 신 하여 주식 \\ Brooke\Music 를 광고하며 그 
주식에 대한 모든 파일접근요청에 응답한다. 말단사용자가 보기에는 Brooke 는 여전히 련 
결되 여 있으며 정 상동작한다. Brooke 는 Network Neighborhood 에 기 록된다. 

Octopus 의 실례 

Octopus 는 파일들을 여 벌복사하고 정보를 공유하는 몇 가지 가능성을 제공한다. 실례 
로 그림 12-4 의 망을 고찰하자. 이 그림은 두개의 원격현장사무소와 련결된 기본사무소 
의 망을 보여 준다. 모든 체계는 24 X 7 점으로 동작하는데 이것은 모든 봉사기들이 모든 
시 간동안 련결되 여 있 다는것 을 의 미한다. 

물론 이 렇게 되면 밤에도 여 벌복사를 위한 시 간은 없는것과 갈다. 

사업교대 시 간에 여 벌복사프로그람을 돌릴 수 있지 만 여 벌복사되 는 봉사기 는 정 확히 
《책임적》이라고 볼수 없다. 

여 벌복사프로그람은 파일들을 될수록 빨리 복사하려고 하므로 많은 CPU 시 간과 디스 
크 I 八)가 랑비된다. 이렇게 되면 사용자파일대기렬에 대한 봉사기응답시간이 매우 길어 
지게 된다. 
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원격 사무실망 원격 사무실망 



또 한가지의 잠재적인 리용성문제가 있다. 모든 봉사기들은 하루 24 h 리용가능하여 
야 한다. 이 3개의 망이 프레임중계를 통하여 련결되였기때문에 프레임중계로의 매 련결 
은 단일고장점 으로 볼수 있 다. 또한 봉사기파괴 와 전원차단에 약하다. 이 런 재 난들이 특 
정 의 싸이 트에 서 발생 한다면 다른 두개 의 봉사기 들은 봉사기자료에 더 이 상 접 근할수 없 
게 된다. 

한가지 해 결 방도는 프레 임 중계 기 밖에 새 로운 마디 점 을 만드는것 이 다 (그림 12-5). 이 
망은 또 하나의 NT 봉사기와 레프구동기를 가지고 있다. 이 체계는 Octopus 목표로 구성 
되며 다른 모든 NT 봉사기들은 Octopus 원천으로 구성된다. 이 설정은 매 생산 NT 봉사기들 
로부터 원격위치에로 공유자원을 실시간으로 거울화하게 해춘다. 

이 실례에서 Octopus 는 많은 문제들을 해결할수 있게 한다. 우선 자료가 실시간으로 
거 울화되 며 이 로 하여 디 스크파피 의 효과를 최 소화한다. 만일 유일한 재 난해 결책 이 그 
자료를 포함하는 봉사기밖에 서 레 프여 벌복사체 계 를 돌리 는것 이 라면 여 벌복사과정 이 끝난 
후에 그 봉사기 에서 진행된 모든 변화들은 잃어 질것 이다. Octopus 가 변화이후의 자료블 
을 즉시 거 울화하므로 잃게 되 는 자료의 량은 최 소화된다. 레 프여 벌복사가 외 부싸이트에 
서 진행되므로 여벌복사체계가 봉사기자원에 의존하는 문제도 해결된다. 이것은 레프여 
벌복사를 임의의 시 간에 실행하여도 봉사기응답에는 영 향을 주지 않는다는것을 의미한 
다. 이 여벌복사체계는 자기의 전용련결을 리용하므로 WAN 의 대역너비는 문제로 되지 
않는다. 

리용가능성문제 를 고찰하자. 어 떤 싸이트가 정 지된다고 하여 도 그 싸이트에 정 상적 
으로 보관된 자료는 아직 리용가능하다 . 그것 은 Octopus 목표가 봉사기 의 정 지 상태 를 검 
출하고 그것을 대신하기때문이다. 아직 동작하는 망은 그 목표봉사기의 거울화된 복사에 
접근할수 있다. 
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설 치 과정 을 시 작하기 위하여 CD 를 NT 봉사기 에 넣 고 setup 을 실 행한다. 이 때 그림 
12-6 과 같은 Site Select 대 화칸이 나오며 이때 Octopus 를 설 치하려는 체계의 Microsoft 
기계이 름을 입 력하여 야 한다. 봉사기이름(그림과 같이)을 입 력할수도 있고 Get 단추를 
눌러 망에 서 NT 봉사기 들을 검 색할수도 있다. 대 화칸의 Network Site 부분은 Get 에 의 
하여 엄은 정보를 설정하게 하여야 한다. 정확한 봉사기이름을 입력한 다음 Continue 
를 찰칵한다. 


일러두기 

망에 서 NT 봉사기 를 검 색 하기 위하여 Get 를 리용하면 처 리 속도가 떠 진다. 가능하다 
면 봉사기이 름을 직 접 입 력하는것 이 좋다 . 


다음에는 그림 12-7 과 같이 프로그람과 자료파일들의 경 로를 선택하여 야 한다. 이 
기 억 위 치 들은 Octopus 프로그람에 의 하여 서 만 리 용된다. 어 느 부분을 거 울화하려 는가를 
식 별 하면 목표체 계 에 목적 지 를 선택할수 있 다. 파일 경 로를 입 력하였 다면 Continue 단추를 
찰칵한다. 
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그림 12-7. 설치경로대화칸 


마지막대화칸은 사용권열쇠를 요구한다. Qualix Group 의 Web 싸이트 
(www. octopustech.com) 를 방문하거나 Qualix Group 을 직접 접촉하여 사용권열쇠를 얻기 
위한 제 품계 렬 번 호를 받아야 한다. 

이 열쇠를 입 력하면 프로그람파일은 하드구동기 에 복사되며 NT 봉사기 를 재 기동하라 
는 지 령 이 나온다. 


죽 __°1 

원천 이 나 목표로 동작하는 매 봉사기 에 Octopus 의 복사를 설 치하여 야 한다는것 을 
잊지 말아야 한다. 
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Octopus 의 구성 


2000이 나 NT 봉사기 에 가입 하고 Octopus 그림기 호 
)pus 조종탁이 나타난다. 모든 공유응답은 Octopus 원천에서 구성되며 따라가 
원천의 조종탁이 아니 라면 조종탁차림 표에서 Functions—Attach 를 선택하여 
련결할수 있다. 이때 제품설치에서와 같은 Site Select 대화칸이 나온다. _ 

I 는 Octopus 원 천 NT 봉사기 의 이 름을 입 력할수도 있 고 Get 단추를 찰칵하 
)pus 를 가진 NT 봉사기 를 망에 서 검 색할수도 있다. 자기 가 목적하는 원천 
ᄂ탁은 그 체계에 대하여 능동으로 된다. 



그림 12_8. Octopus 조종탁화면 

다음에는 어느 정보를 복사하여 어느 원천에 보내겠는가를 확인하는 일 
卜여 야 한다. Octopus 조종탁차림표의 Maintenance — Add Specification — , 
t 다. 

이때 그림 12-9 와 같은 Mirror Shares 화면이 나온다. 먼저 자기의 체계를 
L 를 복사하도록 구성하여 야 한다. 






Exclude Shares 마당은 복사하지 않으려는 어 떤 공유를 기 록한다. 관리공유를 제 외 
한 모든 공유를 보관하려면 이 항목을 공백으로 남긴다. Target Site 마당은 이 공유정 
보가 기 억된 Octopus 목표를 확인하게 한다. 마지 막으로 Synchronize 검 사칸을 선택 하면 
이 정보는 즉시 목표체계에로 복사된다. 모든 항목들이 설정되면 OK 단추를 누른다. 


그림 12-10. Select Soure 화면을 리용한 파일복사 

또한 어느 등록부를 복사하겠는가를 확인하여야 한다. 이것은 그림 12-10 과 같은 또 
하나의 명세 를 추가하여 수행한다. 매 명세 에서 오직 하나의 등록부만을 기 록할수 있 
다 . 여 러 개 의 등 록 부 를 복 사 하 려 면 추 가 적 인 명 세 를 만 들 어 야 한 다 . Include 
Subdirectories 칸을 검사하면 Octopus 는 기록된 원천등록부안에 위치한 모든 등록부들을 
복사한다. 

또한 목표체 계 와 목표등록부를 지정하여 야 한다. 이것은 공유하는 갈은 목표체 계 로 
되지 만 등록부정보를 자기 가 선택하는 곳에 놓을수 있다. 마지 막에 OK 를 찰칵하여 요구 
되는 공유들을 추가한다. Octopus 조종탁화면은 그림 12-11 와 같다. 

Octopus 조종탁의 왼쪽창문은 Octopus 원천이 목표체계 LAB 31 을 복사하게 설정되였다 
는것을 보여 준다. 색 (푸른)갈은 이 체계들이 여전히 서 로 통신할수 있다는것 을 보여 준 
다. 목표체 계하에서 자기 가 구성한 모든 명세들을 볼수 있다. 이 실례 에서는 labfiles 등록 
부를 복사한다. 


경 고 

Octopus 는 일의적인 공유이름들만 거울화한다. 이것은 갈은 목표를 공유한 2개의 
Octopus 원천이 같은 이 름의 공유를 가지 지 말아야 한다는것 을 의 미한다. 만일 공유 
되 면 충돌을 피 하기 위하여 공유들중 하나가 무효로 된 다. 
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I IP Addresses to Forward 칸을 찰칵하면 고장이 생기는 경우 목표체계가 원천고 
주소를 가정 하여 야 하는가를 지정할수 있다. 지 어 여 러 개의 망기관들을 지 적할지 
. 이 것은 원천체 계 를 지 적하는데 DNS 나 WmS 를 리용하는 체 계 들이 고장이 1 

II 목표체계에로 지향되도록 담보한다. 


만일 2개의 체계 가 같은 국부망에 위 치하면 목표는 원천의 IP 주소만을 가정할스 
있다. 


•1 막칸은 Cluster To 인데 이것은 목표체계를 지적하게 한다. 만일 명세를 만들었 c 
서 한것과 같이) 이 값은 채워 져 있으며 변화시 킬 필요가 없다. Souce Option^ 
하였다면 OK 를 찰칵하여 그 변화들을 보관한다. 








다. 그러나 어떤 봉사들은 재시동되지 않으며 지어 어떤 봉사들은 고장극복이 필요할 때 
에만 동작하도록 지 정할수 있다. 

Account 칸은 인증정 보를 넣 기 위한것 이 다. 이것은 원천이 독립봉사기 이 고 목표가 
새로운 System ID ( SID ) 를 제공하여야 할 때에만 필요하다. 원천이 PDC 나 BDC 이라면 
이 정보는 필요하지 않다. 

Notification 칸은 목표가 원천을 대 신할것 을 누구에 게 통지할것 인가를 지정하게 한 
다. 어떤 전자우편주소나 NT 가입자이름 또는 전체 령역에로 통보문이 전송될수 있다. 

Target Option 을 완성 하면 OK 를 눌러서 변화률을 보관한다. 원천과 목표체 계 들은 지 
금 재 난이 발생하는 경 우 봉사기 준위 의 고장견덤 성 을 제 공하도록 구성되 였 다. 

Octopus 의 검사 

고장극복이 말단사용자들에게 어 떻게 보이는가를 보여 주기 위하여 3개의 
Octopus 검 사체 계 를 구성 하였 다. 그중 2개 (www 와 holnt 200) 는 Octopus 원천이 고 세 번 
째 ( lab 31) 는 Octopus 목표로 설정되 였다. 표 12_2는 매 체계에서 쓰이는 공유이름들을 
보여 준다. 


표 12-2 Octopus 검사체계에서 리용되는 공유이■들 


J 스트 

구 사 

공 유 

WWW 

Octopus 원 천 

hotfix, labfiles 

holnt200 

Octopus 원 천 

accounting, marketing, last_share 

lab31 

Octopus 목표 

«none» 


원천이 구성되면 체계는 복사가 끝날 때까지 동작하지 않는다. 복사과정은 lOmin 이 
하 걸린다. 이 처 리가 끝나면 lab 31 은 두 Octopus 원천에 위 치한 매 공유의 복사를 가지 
게 된다. 이 공유의 Network Neighborhood 는 그림 12-14 와 같다. 



그림 12-14. 모든 공유들의 복사를 가지는 lab31 
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종 탁화면 으 로부 터 Switch-Over 一一 Target 
www 와 holnt 200 을 대신한다는것을 볼수 

완성되였다. Added Names 마당은 목표체계 가 



•이 아직 련결되여 있고 동작하고 
응답시간은 그 봉사기들이 실제로 목 








_ 하였다. 먼저 망에 대한 재난과 봉사기에 대한 재난을 고 
명사 및 문서화의 중요성 에 대 하여 설명 하였다. 마지 막으 
기 를 리 용하여 고장견덤 성 을 제 공한다는것 을 고찰하였 다. 
다음장에 서 는 Novell NetWare 조작체 계 에 서 어 떤 위 험 성。 





제 1 3 장 . NetWare 


1983년에 개 발된 NetWare 는 파일 과 인쇄 기 봉사를 제 공하는 대 부분 망들에 서 주역 을 
담당하고 있다. Novell 회사는 4. 11판본에서 인트라네트라고 부르는 내부인터네트를 구성 
할수 있도록 일부 IP 응용을 지원하였다. 인트라네트는 자원접근이 내부인원으로 제한된 
다는 점 을 제 외 하고는 인 터네 트 (HTTP, FTP 등) 와의 련결 을 실 현 할수 있는 많은 기 능들 
을 제공한다. 

NetWare 는 5.0 판본(현재는 5.1 판본이 개발)에서 IP 규약의 고유한 기능들을 모두 지원 
하였 다. NetWare 가 NetWare IP 를 리 용하여 IP 에 기 초한 의 뢰 기통신을 지 원한다고 할 때 
NetWarelP 는 단순히 IPx 자료흐름을 보장하는 IP 통로에 지 나지 않는다. 즉 NetWare 5.0 판본 
은 외 견상 IPx 를 완전히 제 거하였 다고 볼수 있 다. 

NetWare 봉사기 의 기 정 보안기 능은 아주 견고하다. 파일 체 계 는 허 가속성 을 구체 적 
으로 세분화하여 지원하고 있으며 일반 사용자에게는 체계 자원에 대한 접근을 거의 
허 용하지 않는다. 그러 나 철저한 보안을 실현하기 위 하여 서 는 여 러 가지 문제 들을 고 
려하여 야 한다. 


NetWare 핵심부 0S 

NetWare 의 핵 심 부는 32bit, 다중과제 , 다중스레 드용으로 설 계 되 였 다. 대 칭 형 다중처 
리 기지원이 핵 심 부 OS 에 포함되 여 있으며 핵 심부는 모둘방식 으로 설계되 였다. 모둘방식 
을 리용함으로써 응용프로그람들과 지원구동기들이 원활하게 적재, 제거될수 있다. 


W __ °i " 

이것은 IP 주소변환과 같은 대부분의 체계변화가 재기동없이 사용할수 있다는것을 
의 미 한다. NetWare 에 서 IP 주소변환은 지 령 대 기 상태 에 서 2개 의 지 령 으로 이 루어 지 
며 즉시사용이 가능하다. 이러한 환경구조기능은 수시로 체계변경이 요구되지만 중 
단 없이 주야봉사를 보장하여 야 하는 봉사기 인 경우 아주 유용하다. 


NetWare 5.0 판본은 Java 도 지 원 한다. Novell 의 Java 가상기 계 (JVM) 는 봉사기 에 서 
Java 기반응용프로그람의 개발과 실행을 가능하게 한다. 

4.x 판본까지 의 NetWare 에 서 는 모든 프로그람들이 봉사기 의 주기 억 에 적재 되 여 실행 
되 도록 설 계하였 다. 다시 말하여 교체공간 또는 가상기 억 을 지 원하지 않았다. 그러 므로 
조작체 계 가 사용할수 있는 주기억 은 봉사기 에 물리 적 으로 설치한 주기억 으로 제 한되게 
된 다. 


추一°1 - 

NetWares 0에서는 가상기억을 지원한다. 
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주기 억 은 NetWare 봉사기 에 서 만 사용하지 않는다. 응용프로그람을 지 원하는 핵 심 OS 
와 구동기의 적재，의뢰기들이 자주 접근하는 파일들의 완충을 위 하여서도 사용된다. 사 
용자들이 공통적 으로 리용하는 파일들은 디 스크보다 속도가 더 빠른 주기억 에 배 치 하고 
접 근봉사를 처 리한다. 조작체 계가 추가로 주기 억공간을 요구할 때 에는 파일완충용공간으 
로부터 일부를 떼내여 리용한다. 

Novell 은 또한 비정상완료 (ABEND) 라는 치명적인 체계 오유를 회복하는 기능도 개선 
하였다. NetWare 의 이전 판본들에 서는 이런 오유발생시 봉사기가 모든 처리를 정지 시킨 
다. 유일한 회 복방법 은 직 결 오유축적기 를 통하여 봉사기 를 재 기 동하는가 아니 면 완전히 
전원을 끄고 다시 재기동하는것이다. 

NetWare 에 는 또한 ABEND 오유가 발생 하면 규정 된 주기 시 간후에 봉사기 를 재 기 동하 
는 기 능도 있 다. 어 떤 종류의 ABEND 오유에 의하여 봉사기 를 재 기 동시 키 겠는가를 선택 
할수 있다. 실례 로 봉사기 가 응용프로그람에서 발생한 ABEND 오유를 단순히 회 복하도록 
설정할수 있다. 그러 나 장치 와 련관된 오유라면 봉사기 는 재 기동한다. 

NetWare 는 휴지통수집 기능을 설정 할수 있다. 이 기능은 정지되지 않는 한 제거된 
프로쎄스로부터 기억을 회수하여 다른 프로쎄스가 리용할수 있는 자유기억공간으로 복귀 
시킨다. 

NetWare 의 이전 판본들에서는 잘못 작성된 응용프로그람이 주기억에서 제거될 때 
응용프로그람이 자기 가 리용하던 기 억 공간을 모두 자유기 억 공간으로 복귀시키 도록 설 계 
하지 못하였다. 이것은 조작체 계우에서 동작하는 응용프로그람들에서 공통적 인 문제 이 다. 
휴지통수집처리는 더이상 리용하지 않는 주기억범위를 조사하고 발견하면 지적자를 지우 
고 다른 응용프로그람이 리용할수 있도록 자유기 억 공간으로 복귀시 킨다. 

새 로운 특징은 또한 응용프로그람이 오래동안 처 리 기를 .점하지 않도록 설계한것 이 
다. NetWare 에 는 응용프로그람이 CPU 의 공유와 공평 한 리 용이 거 절될 때 오유통보문을 
발생하는 조종포기경 보설정 이 있 다. 또한 CPU 독점 시 간초과설정 에 의하여 봉사기 의 처 리 
기시 간을 전부 독점하는 그러한 프로쎄 스를 자동적 으로 소멸 하도록 한다. 

C2 증서 

NetWare 는 국가콤퓨터 보안쎈터 (NCSC) 가 공인하는 C2 증서 를 받아 들인 분산형망조작 
체계 이 다. NT 도 C2 증서를 받아 들였지만 이 책 이 출판되면 NT 는 신뢰할수 있는 망으로서 
는 공인되지 못하고 조작체계측면에서만 인정된다. 다시 말하여 망련결 또는 매체련결이 
없는 단독워크스테이션으로서만 인정된다. NetWare 는 전자자료 (Electronic D 加 i) 의 E2 등급 
으로 평가되고 있다. E2 은 C2 의 유럽사본인데 매개 증서들令 거의 류사하다. 

C 2 명세 

NCSC 가 신뢰하는 C2 등급의 망으로 공인되 기 위 하여 서 는 다음의 명 세 들에 부합되 여 
야 한다. 


• 체계는 매개 체계사용자들을 유일하게 식별할수 있어야 한다. 

• 체계는 사용자가입과 대상의 변경을 선택적으로 추적할수 있어 야 한다. 
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• 체계는 조사를 위하여 추적된 정보를 유지할수 있어야 하며 그러한 정보는 매 
입구점의 원천(어느 원격체계，말단，봉사기조종탁)들을 구별하여야 한다. 

• 체계관리 자는 조사를 위 한 정보에 대 하여서는 사용자들의 접근을 제 한할수 있 
어야 한다. 

• 체계에는 개별적으로 또는 그룹단위로 접근조종을 설정하는 방법이 있어야 
한다. 

• 체계관리자는 접근조종권한을 제한할수 있어야 한다. 

• 체계관리자는 체계가 정상가동한다는것을 검증할수 있어야 한다. 

• 체계는 모든 보안특징을 서술한 지도서를 가지고 있어야 한다. 

• 보안특징 은 NCSC 에 의하여 검 사되 고 결 함이 없 다는것 이 증명 되 여 야 한다. 

C 2 등급에 복종시키 는데 서 결 함이 없 다는 마지 막규정 은 문제 로 된 다. C 2 증서 는 해 커 
가능성 을 완전히 제 거 한다는데 대 하여 서 는 담보하지 않는다. 그러 나 보안을 고려하여 설 
계하였으므로 이러한 보안예방을 제3자의 정부기관에서도 리용할수 있다는데 대하여서는 
언급하고 있다. 


NetWare 등록부봉사 

NetWare 는 접 근조종을 위 하여 NetWare 등록부봉사 ( NDS ) 를 사용한다. NetWare 등록부 
봉사는 망접 근권한을 할당하고 관리하는데 계 층수법 을 리 용한다. 그러 므로 전체 망환경 을 
하나의 조종탁에 의하여 관리하게 된 다. NetWare 등록부봉사는 또한 망자원 에 대 한 사용자 
련결을 구체적인 세부준위까지 조종할수 있는 기능을 제공한다. 기관의 NDS 구조를 보통 
NDS 나무라고 한다. 

NDS 의 구조는 하드구동기의 등록부구조와 류사하다. 기관단위 또는 용기 로 볼수 있 
는 부분등록부는 뿌리아래에 정의된다. 접근권한은 사용자들이 자기가 필요한 망자원에 
만 접근할수 있도록 부분등록부단위로 설정될수 있다. 사용자접근을 더 구체적으로 관리 
하기 위 하여 서 는 더 많은 부분등록부를 정 의하여 야 한다. 


죽 __°1 

부분등록부에 대 하여 총관리 자와 갈은 특권을 가진 부분관리 자를 임 명할수 있다. 
NDS 는 큰 기 관에서 지정된 그룹마다 자기 자원을 관리하는 관리 자를 설정할수도 있 
고 또한 완전한 관리권환을 전체 망관리를 책임진 여 러 관리자들에게 부여할수 있 
도록 체 계 화가 잘되 여 있 다. 권한은 웃준위기 준에 기 초하여 배 당된 다. 즉 현재 권 
한이 부여된 등록부내의 모寒 부분등록부들에 대하여 특별히 설정을 하지 않는 한 
갈은 권한이 부여된다._ 


망접 근은 또한 집 중화되 여 있다. 사용자가 망에 가입하면 특정봉사기 또는 나무의 
어떤 부분이 아니라 전체 NDS 나무에 대하여 인증된다. 이것은 할당된 모든 망자원에 대 
한 접 근이 가능하다는것을 의 미한다. 심지 어 NDS 나무에 원격인쇄 기 와 같은 원격 자원이 
존재 한다고 하여 도 사용자에 게 할당된 자원 이라면 접 근이 가능하다. 
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NDS 설계 


NDS 나무가 어떻게 구성되여야 하는가 하는 실례를 그림 13-1 에서 보기로 하자. 
Cam 기 관은 위 치상 5개의 지 역 즉 알브큐에르큐，보이스, 토스안젤스，솔트레 이 크시，탐 
파로 나누어 진다. 매 등록부에 대한 접근을 할당 받은 사용자는 해당 지역의 모든 자원 
에 접근할수 있다. 매 지역이 자기의 IS 담당자를 가진다면 해당한 등록부에 IS 담당자의 
구좌를 창조한다. 등록부안에 이러한 관리자들을 정의함으로써 해당 지역의 모든 자원을 
관리할수 있다. 그리 고 Cam 등록부에 직 접 사용자구좌를 여 러 개 창조하여 전체 나무를 
관리하도록 할수 있 다. 

매 지 역 에서 자원을 부서 단위 로 취 급하기 위하여 더 많은 부분등록부들을 정 의할수 
도 있다. 이렇게 하여 지 역 안에서 망자원을 세분화하여 관리 할수 있다. 실례로 그림 13- 
1에서 HQ 등록부를 보자. HQ 등록부에는 사용자그룹들과 이들이 접근하는 인쇄기，파일， 
응용프로그람자원들이 정의되여 있다. 이와 같이 NDS 나무에서는 접근요구에 기초하여 
망객체를 관리함으로써 보안관리를 단순하게 한다. 

NDS 에서는 사용자가 여러 등록부들에 접근할수도 있다. 실례로 한 사람이 Cam 회사 
의 부기 원이고 모든 재정자료에 대 한 접 근을 요구한다고 하자. 이 사람에 게 NDS 나무 전 
체 에 대 한 접근을 할당한다면 자기 가 소속되지 않은 지 역들에서는 모든 등록부들을 람색 
하여 야 재 정자료를 찾을수 있 다. 



그림 13-1. NDS 나무의 실례 


380 







NDS 에서 는 하나의 등록부에 서만 그것 을 위한 사용자대 상을 실지 로 창조하고 다른 
지 역의 필요한 등록부들에서는 실제 의 사용자대 상을 지 적하는 가명 을 리용한다. 그림 
13-1 에서 부기원대상은 다른 등록부에서 창조된 실제대상을 지정하는 가명이다. 이러한 
방법 으로 필 요한 자원 에만 접 근하도록 할수 있 다. 

구 좌 관 리 

NetWare 5. 0 에 서 부터 는 사용자구좌를 Java 도구프로그람인 Consoleone 에 서 관리 한다. 
NetWare 4. 표에서는 NetWare 관리자 (nwadmin) 를, NetWare 3. 표에서는 syscon 을 리용하였다. 
Console One 이 봉사기 에서 실행 되 므로 부분적 으로 구좌관리 를 담당하는 워 크스테 이 션들 
이 필요없게 된다. 

그러 나 구좌관리 는 좀 복잡해 진다. 특정사용자에 대 한 모든 보안설정 을 보기 위하 
여서는 단순히 사용자대상에 대 한 오른쪽찰칵하여 상세하게 선택하면 된다. 그러 면 그림 
13-2 와 같은 사용자정보화면이 펼쳐 진다. 


그림 13-2. Console One 에서 Comodus 사용자의 관리 

이 조종탁에서 통과암호제한，파일접근권한，지어 사용자가입정보서술과 같은 사용 
자구좌의 모든 항목들을 관리할수 있다. 다음의 단락들에서는 이 조종탁에서 할수 있는 
일부 보안관리들에 대하여 설명한다. 

식별 

식 별 단추에 서 는 사용자정 보를 등록한다. 사용자정 보에 는 다음의 요소들이 포함된 다. 


I 


Jilvlsvl 


inEhi ^ 


• 전체 이름 


381 






• 위치 

• 부서 

• 전화번호 

• 사용자의 직속관리자와 갈은 서술정보 

상세한 사용자정보등록이 외견상 보안특성과는 관련이 없는것 같지만 보안문제를 추 
적할 때에는 아주 중요하게 리용된다. 

가령 체계 를 조사하여 사용자구좌 jsmith 로부터 오는 어떤 의 심스러운 동작을 추적 한 
다고 하자. 조사과정 에 jsmith 가 부기자료기 지 에 대 한 접 근획 득을 시 도하였 다는것 이 밝혀 
진다. Console One 을 리 용하여 jsmith 사용자정 보를 찾고 그가 구내 전화번호 1379에 있는 
Toby Miller 로 기록한다는것을 알아 낸다. 이 정보에 기초하여 신속히 Toby 에게 전화를 
걸 어 jsmith 의 부기자료기 지 에 대 한 접 근시 도를 현행 으로 잠도록 할수 있 다. 


일러두기 

체 계조사를 할 때 상세한 사용자정 보는 아주 중요하다. 그것 은 사용자들의 가입 동 
작과 경과기록정보를 서로 련관시킬수 있기때문이다. 규모가 큰 환경에서는 체계관 
리 자가 모# 가입 이 름들을 기 억 해 야 하므로 불리하다. 


가입제한 

가입 제 한단추에 서 는 매 구좌에 대 하여 미 리 결정 된 만기날자를 배 당한다. 이 기 능은 
기 관에서 림시직원을 채용하는 경우 효과적 이 다. 가입제 한화면에서는 또한 매 사용자가 
가지 고 있는 구좌를 무시하거 나 동시 련결수를 제 한하게 할수도 있 다. 

사용자의 봉사기 련결수를 제 한하는 기능은 사용자들이 자기의 인증증서을 배포하는 
것 을 금지시키 는데 서 효과적 이 다. 가령 동시 련결 수를 1로 제 한했 다면 사용자가 자기 의 
가입 을 다른 사람이 리용하게 하는것 을 금지시 킬수 있 다. 그것 은 갈은 이 름으로 동시 에 
두번 이 상 가입하는것 이 가입 제 한설정 으로부터 금지되 였기 때 문이 다. 

동시 련결제한은 또한 훔친 구좌를 알아 내 는 아주 좋은 방법 이 다. 사용자가 가입 을 
시도하여 자기가 또 다른 체계로부터 가입 이 되여 있다는 통보문을 받았다면 관리자에게 
통보하여 잠재하는 공격 자를 추적할수 있 다. 

틍과암호제한 

통과암호제 한단추에서는 사용자의 통과암호를 구체 적 으로 정 의한다. 설정할수 있는 
파라메터 들은 다음과 같다. 

• 사용자가 자기 의 통과암호를 변경할수 있는가를 허 용 

• 구좌에 통과암호리용이 요구되는가를 정의 

• 통과암호의 최소문자수를 정의 

• 구좌가 여 러개의 통과암호를 리용할수 있는가를 허 용 
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• 구좌의 현재 통과암호를 변경 


SSH^I 

NDS 에서 통과암호제 한은 아주 유연하다. 즉 사용자부류별로 파라메터 
있다. 실례로 일반 사용자들에 대해서는 6개문자이상의 통과암호，망견 
서는 12개문자이상의 통과암호를 사용하게 할수 있다. 


가입시간제한 


가입시간제한화면에서는 사용자가 언제 NDS 나무에 인증될수 있는가를 정- 
한은 매 일 어느 시 간 또는 매주 어느 날로 설정할수 있다. 


P __ oj 

NDS 는 명 절 들에 대 하여 서 는 정 의하지 않는다. 


실례 로 그림 13-3 에서 체 계관리 자는 Comodus 사용자가 망자원에 언제 접군 
가를 규정하고 있다. Comodus 사용자는 월요일부터 금요일까지는 오전 7시부러 
다지 , 토요일 에 는 오전 8시 부터 낮 12시 까지 에만 가입 이 허 용된 다. 그밖의 시 
게 가입할수 없 다. 시 간주기 가 만기 되 는 시 간에 사용자가 여 전히 가입 하고 있 
간 경고를 보낸 다음 련결을 차단한다. 

















시간제한은 여벌복사처리를 기동하기 전에 사용자들을 체계에서 탈퇴시키는 좋은 방 
법 이 다. 체 계 에 가입 한 사용자는 열 린 파일들을 가지 게 된다. 여벌복사처 리 프로그람들은 
정 확한 여 벌 복사처 리를 위 하여 파일정보에 대 한 배 타적 접 근이 필요하므로 열 린 파일들에 
대 하여 서 는 여 벌복사처 리 를 할수 없 다. 시 간제 한을 리 용하여 여 벌복사처 리 프로그람을 기 
동하기전에 사용자들은 망에서 탈퇴시킬수 있다. 

망주소제한 

망주소제한단추에서는 사용자들이 NDS 나무에서 인증될 때 어떤 체계를 리용하는가 
를 정 의한다. 그림 13-4 와 같이 망관리 자는 사용자가 지정한 망규약을 리용하도록 제 한 
한다. 즉 사용자는 지정한 규약으로만 망자원에 접 근할수 있다. 



그림 13-4. 망주소제한화면 

실례 로 전용체 계 에서 동작하는 응용프로그람을 리용하는 사용자가 봉사기의 접 근을 
위하여 통과암호가 없는 하나의 구좌를 가진다고 가정하자. 이러한경우 체계가 재기동 
한다면 통과암호를 요구함이 없이 즉시에 망자원접근이 가능하게 된다. 

통과암호가 없는 구좌는 명백 히 보안상 위 험하다. 그러 나 이 구좌가 상대적 으로 안 
전하다는것 을 보증하는 예 방책 을 취 할수 있다. 전용체 계 의 가입 만을 허 용하는 구좌에 대 
하여 망주소제 한을 정 의 함으로써 구좌는 안전 하게 된다. 즉 워 크스테 이 션 에 는 물리 적 인 
안전이 제공된다. 이러한 기능은 다른 위치에서 이 구좌를 리용하여 망에 가입하는것을 
차단할수 있게 한다. 

침입자차단 

침 입 자차단단추에 서는 실패한 가입시 도들에 대 한 통계 정 보를 보여 준다. 체 계관리 자 
는 부정 확한 통과암호를 리용하여 가입 을 시 도한 구좌들과 콤퓨터 주소들을 조사할수 있 
다. 이러한 기능은 침입자를 추적하는 아주 쓸모 있는 정보이다. 
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죽 __ £l 

실패 한 가입시 도들은 경 과기 록정 보에 등록된다. 


구좌가 차단되 지 않은 경 우에 도 실패한 시 도의 회 수와 오유계 수기 가 0으로 설정 되 기 
전의 마지막시간값(가입에 소요된 시간)들을 조사할수 있다. 

파일과 등록부에 대한 권한 

파일과 등록부에 대한 권한단추를 리용하여 NDS 관리자는 사용자들에게 할당한 모든 
파일과 등록부들에 대 한 허 가정 보를 조사한다. 관리 자는 이 기 능을 리용하여 하나의 화 
면상에 서 모든 사용자들의 접 근권한을 조사할수 있다. 그러 나 이 기 능은 모든 등록부， 
모든 봉사기 를 조사하는 Windows NT 람색기 와는 현 저하게 다르다. 

파일과 등록부에 대한 권한화면은 그림 13-5 에 보여 준다. 우의 창문은 접근이 보증 
된 봉사기 들을，가운데창문은 사용자접 근이 보증된 등록부들을 그리 고 화면의 아래부분 
에서는 선택된 등록부에 대하여 사용자에게 부여한 권한들을 보여 준다. NetWare 등록부 
의 매 권한들에 대 하여 표 13-1 에 서 설명한다. 


표 13-1 등록부권한들 


권한 

설 명 

관리자 

모든 접근권한을 제공한다. 

읽기 

사용자가 파일실행 또는 파일내용을 볼수 있다. 

쓰기 

사용자가 파일내용을 보고 수정할수 있다. 

창조 

사용자가 새 파일을 창조하거나 지워 진 파일을 되살릴수 있다. 

지우기 

사용자가 파일을 지우거나 겹쳐쓰기할수 있다. 

파일 주사 

사용자가 등록부안의 파일내용은 보지 못하지만 등록부안의 내용은 볼 

수 있다. 

접근조종 

다른 사용자의 위락배당을 변경시키거나 다른 사용자의 접근권한을 보 

증할수 있다. 


죽 __°1 

창조권한을 가진 사용자는 등록부로 파일복사는 할수 있지만 일단 복사가 된 다음 
에 는 이 파일 들을 보거 나 수정할수는 없 다. 


1__5 

관리자권한과 접근조종권한의 할당은 주의하여야 한다. 관리자권한은 완전한 허가 
를 할당할수 없 을뿐아니 라 부분등록부에 서 려 과하여 제 거할수도 없 다. 그리 고 접 근 
조종권한은 사용자가 자기자체가 가지지 못한 허가도 보증할수 있게 한다. 
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실례로 모든 보조담당자들에게는 NDS 관리자와 등가인 권한을 할당하여 보조담당자 
들이 자기 의 NDS 대 상들을 관리하도록 한다. 관리 자가 사용자별로 검 토할 필요가 있는 
경 우 관리 자구좌로부터 각이한 구좌를 보조담당자에 게 할당하는것 은 자주 쓰는 방법 이 다. 
이렇게 함으로써 경과기록정보를 분할하여 관리한다. 그러나 이러한 관리방법이 경우에 
따라서 는 불리하다. 그것 은 보조인원들이 자기 자체 의 구좌를 가지 고 경 과기 록를 수정할 
수 있기 때문이다. 

그러 므로 보조인원들에 게는 두가지 구좌를 제 공하여 야 한다. 하나는 관리 자준위 의 
변경 을 할수 있는 구좌이고 다른 하나는 매 일 자기 의 직 능수행 을 위한 구좌이다. 관리 자 
가 체계에서 작업할 때 쉽게 해이될수 있다. 유감스럽게도 이러한 부주의는 착오를 가져 
올수 있다. 완전한 체계접근을 할수 있는 사용자가 소홀히 한탓에 착오를 범할수 있다 
( F 구동기의 파일을 모두 지워 버 렸다. 묘를 플로피 디스크로 생각하고…). 

관리자기능을 수행할수 있는 후보구좌를 리용하여 보조자가 각성할수 있는 기회를 
주고 더 정 확히 과제 에 전념하게 할수 있다. 요구한 과제 를 완성한 보조인원들은 관리 자 
기 능을 할수 있는 후보구좌를 반환하고 다시 자기 의 사용자구좌를 리용한다. 

파일체계 

대 다수 파일체 계접 근은 nwadmn 95 를 통하여 조종된다. 이 것은 NDS 관리 자가 매 개 사 
용자들에 대해 보증한 접근권한을 신속히 식별할수 있게 한다. 

NetWare 는 려 과기 라고 부르는 도구프로그람을 추가적 으로 제 공한다. 이 프로그람은 
관리자가 등록부들에 대하여 반복되는 접근권한흐름을 조종할수 있게 한다. 접근권한흐 
틈은 계 승권한마스크를 리용하여 조종된 다. 

계승권한마스크 

파일체계접근은 파일준위로 조종할수도 있다. 보통 파일접근권한은 등록부를 기준으 
로 아래방향으로 유효하게 되 여 있다. 이 것은 사용자가 특정등록부에 접 근할수 있다면 
그 등록부안의 모든 부분등록부들에 도 접 근할수 있 다는것 을 의 미한다. NetWare 는 이 러 
한 권한을 마스크시켜 부분등록부에 대한 접근을 금지시킬수 있는 계승권한마스크를 제 
공한다. 이 러 한 계 승권한마스크를 리 용하여 체 계 관리 자는 개 별 적 인 등록부단위 로 구체 적 
으로 권한을 할당할수 있다. 

실례로 그림 13-6 의 등록부구조를 보자. CAM_SYS 의 뿌리아래에는 Shared 라는 
등록부가 있다. Shared 등록부에는 부서단위로 여러개의 부분등록부들이 있다. 이때 
사용자에 게 부분등록부의 내 용을 볼수 있 게 Shared 등록부안에 서 파일주사권 한을 부여 
하려고 하지만 Shared 등록부내의 모든 부분등록부들에 대해서는 허용하지 않도록 할 
수도 있다. 
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만일 況 ared 등록부로부터 Sales 등록부에 로 인계 되 는 파일 스캔권한을 무효로 하려 면 
Sales 등록부의 계 승권한려 과에 서 파일 스캔권한을 제 거하면 된 다. 


죽 __°1 

파일스캔권한의 부분등록부전파를 제 한하였 으므로 사용자들에 게 부분등록부내 의 파 
일들을 볼수 있도록 허가하려면 일일이 파일스캔권한을 부여하여야 한다. 


계 승권한마스크는 부분등록부로 접 근권한이 전파되 는것 을 무효화시 킬수 있다. 일반 
적으로는 전파가 허용된다. 그러나 관리자는 계승권한마스크를 리용하여 매 등록부들에 
대한 접근권한을 구체적으로 할당할수 있다. 

경과기록과 검열 

NetWare 에 는 여 러 가지 류형 의 경 과기 록이 있 다. 보안을 위 하여 제 일 중요한것 은 도 
구프로그람 console.nlm 에 의 하여 창조되 는 조종탁경과기 록이 다. 이 프로그람은 모든 조 
종탁동작들과 오유통보문들을 기 록한다. 두번째 류형 은 Auditcon 도구프로그람에 의하여 
창조되 는 검 열 경 과기 록이 다. 


죽 __- 

모든 ABENDS 기록은 NetWare 봉사기의 SYSTEM 등록부안에 있는 abend, log 파일에 등 
록된다. 이 기 록정보는 체계 를 파괴하려 는 해커의 DoS (봉사거부)공격 시 도를 알아 
내는데서 매우 중요하다. 


Auditcon 

NetWare 에 는 Novell 의 체 계 검 열도구프로그람인 Auditcon 이 있다. 체 계관리 자 또는 
체계 관리자가 지정 한 사용자들은 Auditcon 을 리 용하여 봉사기사건들을 감시 할수 있 다. 
감시할수 있는 사건들은 사용자가입，통과암호변경，특정파일 접 근 등을 포함하여 70 개 이 
상이다. 

nwadmn 95 와 분리 되 여 존재 하는 Auditcon 의 우점 은 관리 자가 사건을 감시 하는 사용 
자를 선발할수 있다는것 이 다. 


일러두기 

망관리 와 보안감시를 따로 하는 큰 규모의 망에서 Auditcon 은 아주 쓸모 있다. 이 경 
우에 감시 자는 관리 권한이 없 이 체 계사건을 감시 하는데 필요한 권한만을 가진다. 


Auditcon 을 기 동하고 Audit 등록부봉사를 선택하여 등록부에 대 한 특정사건 또는 사용 
자가입 이 름을 검 열할수 있다. 그림 13-8 은 NDS 사건선택화면의 구성 을 보여 준다. 실 례 
로 새로운 성원이 그룹에 추가될 때 또는 대상의 보안관련설정이 변경될 때 새로운 기록 
입구점 이 창조되도록 할수 있다. 
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관리자준위의 구; 
가 또는 양도되였 





그림 13-9. Auditcon 의 






















망 보 안 


NetWare 는 망통신의 안전을 위 한 여 러 가지 방법들을 제공한다. 여기 에는 NetWare 봉 
사기 와의 안전한 통신을 보장하는 파케 트서 명방법 과 파케트러 과방법 이 있다. 
NetWare5.0 에 서 부터 Novell 회 사는 공개 열 쇠 하부구조봉사 (PKIS) , NDS 에 로의 LDAP 와 
SSL 의 통합, Novell 국제 암호화하부구조 (NICI), Novell 모둘인증봉사 (NMAS) 와 관련한 기 
술들을 추가하였다. 

과케트서명 

수년간 련결가로채기로 알려 진 체계공격의 한가지 류형 이 있다. 사용자가 봉사기와 
정 보를 교환할 때 련결 가로채 기 는 현재 가입한 체 계관리자로부터 정 보가 오는것 처 럼 위 
조한다. 공격자는 봉사기가 접수할수 있는 지령을 보내여 체계관리자로부터 정보가 오고 
있는것처럼 속인다. 

파케 트서 명 은 이 류형의 공격 을 막는데 효과적 이 다. 파케 트서 명 에서는 봉사기 와 워 
크스테 이 션이 전송하기 전에 서 로 약속한 공유열쇠 를 리용하여 매 프레 임 에 서 명한다. 이 
서명은 동적으로 결정되며 프레임마다 변경된다. 봉사기는 정확히 서명한 프레임을 보내 
는 워 크스테 이 션이 요구하는 지 령만을 접 수 한다. 

공격자가 관리자를 위조하기 위하여 봉사기로 지령을 보내면 봉사기는 유효서명이 
없는 수신프레임을 거부하며 그것을 모두 기록한다. 정확한 서명이 부단히 변경되는 
경 우 어떤 서명 이 리용되 는가를 알아 내 는것은 매우 어 렵 다. 파케 트서명 을 리용하면 
일상적으로 유지되는 관리자련결을 보호할수 있다. 


추 __°1 

파케트서명은 모든 사용자들을 대상으로 할수는 없다. 


파케트서명설정 

파케 트서 명 은 4 개 의 보안준위 로 구성 되 며 봉사기 와 워 크스테 이 션에 서 둘다 설정하여 
야 한다. 가능한 파케 트서 명 준위 들을 표 13-2 에 서 설 명한다. 


표 13-2 파케트서명준우 I 


서명준위 

설 명 

0 

파케트서명을 리용하지 않는다 . 

1 

파케트서명을 원격체계가 요구할 때에만 리용한다 . 

2 

파케 트서명 을 원격 체 계 가 지 원하면 리 용한다 . 그러 나 표식은 요구되 지 

않는다 . 

3 

파케트서명을 지원하지 않는 원격체계와 통신할수 없다 . 
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기 정 으로 NetWare 의 퇴 기 와 봉사기 는 1 준위 로 설 정 되 여 있 다. 그러 므로 기 정 설 정 을 
변경하지 않는 환경 에서 는 파케 트서 명 이 적 용되지 않는다. 

이 동통신연구팬 터 ( NMRC ) 는 NT 의 C 2 MYAZZ 와 류사한 파케 트서 명 의 속임 취 약성 을 
발견하였 다. 그것 은 공격 자가 워 크스테 이 션과 봉사기 를 파케 트서 명 을 리용하지 않는것처 
럼 위조할수 있다는것이다. 이러한 문제는 3준위을 제외한 모든 서명준위들에서 발생한 
다. 그러 므로 망관리 자에 의하여 관리 되 는 모든 워 크스테 이 션들은 반드시 3준위 의 파케 
트서 명 을 리용하여 야 한다. 


죽 __°1 

NMRC 는 Novell 제품의 여러가지 취약성을 문서화하였다. 이러한 정보는 Web 사이트 
www . nmrc . org 에서 얻을수 있다. 


봉사기 에 3준위 의 파케 트서 명 을 설정하려 면 조종탁에 서 다음과 같이 입 력한다. 


SET NCP Packet Signature Option =3 

의뢰기의 3준위 파케트서명설정은 체계 칸(의뢰기를 Windows 기반으로 가정한다.)의 
N 우에서 마우스오른쪽찰칵하고 Novell 의뢰기속성을 선택한 다음 설정갱신，서명준위에서 
3을 설정하면 된 다. 

Filtcfg 

NetWare 봉사기 는 Filtcfg 도구프로그람을 리 용하여 정 적파케 트러 과기 능을 수행한다. 
파케트려과기능은 봉사기로 들어 오고 나가는 자료흐름을 조종한다. 만일 2개이상의 
망기 판을 설치한 경우 파케 트러 과기능을 리 용하여 망토막들사이의 자료흐름을 조종할수 
있다. Filtcfg 는 IP 와 IPx , Appletalk 자료흐름에 대 한 려과기능을 지원한다. 



그림 13-10. 려 과기 구성차림 표 









자료흐름을 려과하기 위하여서는 해당 규약에 따르는 Inetcfg 도구 프로그람을 
리용하여 야 한다. Filtcfg 도구 프로그람을 봉사기 조종탁에 서 적 재하여 설 치할수 있 다. 
그림 13-10 에 려과기구성차림 표화면을 보여 준다. 여 기 에서 려 과규약을 선택할수 있다. 

TCP / IP 를 선택한다면 려과하려는 경로조종규약을 먼저 밝히고 다음에 려과방향을 
지 적하여 야 한다. 실례 로 RIP 갱 신파케 트가 들어 오는것 또는 나가는것 을 제 거하도록 선 
택할수 있다. 차이는 봉사기자체가 경로갱신정보를 받아 들이겠는가 하는데 있다. 들어 
오는 파케 트를 려과하면 봉사기 에 수신되기전에 제거되므로 갱 신이 중단된다. 나가는 파 
케 트를 려 과하면 봉사기자체 에 는 경 로갱 신정 보가 전달되 지 만 그이후의 다른 망기 관으로 
의 전달은 금지된다. 

경 로정 보를 려 과하기 위하여 정 적파케 트려과기능을 리용할수도 있 다. 그림 13-11 에 
파케 트전 달려과화면 을 보여 준다. Filtcfg 는 파케 트려 과를 정 의하는 두가지 방법 을 제 공 
한다. 허 용하려 는 파케 트를 규정(기 정 설정 )하든가 또는 거 부하려 는 파케 트를 규정할수 
있다. 다른 경우에는 례외를 정의할수도 있다. 



실례로 허용하려는 파케트형태를 선택하고 부분망 192.168.1.0 과 192.168. 2.0 사이 
에서만 자료흐름이 허용되도록 규정할수 있다. 또한 들어 오고 나가는 모든 FTP 련결요 
구를 거부하도록 례외를 정의할수도 있다. 각이한 려 과기능의 조합에 의하여 관리 자는 
구체적 인 접근조종방책을 세울수 있다. 

파케 트전 달려 과화면 에 서 려 과기 를 지 정 하고 Enter 를 누르면 현재 설 치 된 려 과기 목록 
이 연시된다. 삽입건을 눌러서 려과규칙들을 추가할수 있다. 려과기정의화면을 그림 13- 
12에 보여 주었다. 

원천대면부선택은 려과규칙 을 특정한 망기 판과 결합시 킨다. 이것은 속임 려과기 를 정 
의 하는데 효과적이다. 실례로 3 COM 기판으로 NetWare 봉사기와 련결된 내부망주소 
192.168.1.0 이 있다고 하자. 또한 SMC 기판으로 비 무장지 대 ( DMZ ) 와 련결되였다고 
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• 응답 (ACK=1) 과 대화설정 (SYN=1) 파케트를 구별할수 없다. 

• ICMP 류형 의 코드를 정 의 할수 없 다. 

• RPC 와 같은 동적 포구할당을 리용하는 봉사에 대 한 지 원을 정 의할수 없 다. 


죽 __ oj 

이 러 한 제 한은 Filtcfg 가 명 백 히 인 터네 트련 결 의 안전 을 위 한 설 정 항목들을 다 지 원 
하지 못한다는것 을 의 미한다. 그러 나 Filtcfg 의 파케 트려과능력 은 내 부망토막들사이 
보안을 제공하기에는 충분하다. 


려과기규칙 을 정의한 다음 탈퇴건으로 정의내용을 보관하고 탈퇴한다. 려과기방책을 
유효로 하기 위하여서는 체계를 재기동하여야 한다. 

공개 열쇠 하부구조봉사 ( PKIS ) 

Novell 은 NDS 에 서 증서 와 열쇠 의 요구，관리，보관을 위 하여 PKIS 를 리 용한다. 또 
한 특정한 NDS 나무에 고유한(즉 기 관에 고유한) 기 관적 인 증명서권한 (ca) 을 창조한다. 
다른 망들에서 제공하는 보안봉사들은 Novell 의 안전인증봉사와 SSL, Novell 의 LDAP 봉 
사를 포함하는 PKI 에 의 거한다. 결 과 NetWare 봉사기 는 인증과 암호화를 리용하여 안전 
한 가입 만을 접 수하고 LDAP 요구를 확인하며 (LDAP 는 3 자가 주어 진 등록부에 즉 이 경 
우에 는 NDS 에 문의할수 있도록 설계 되 였 다는것 을 기 억하시 오. ) 망통신을 암호화한다. 

여러가지 요소들이 PKLNLM (NetWare 봉사기에서)， PKI_SERVER.DLL (NT 봉사기에 
서 ), LIBPKISERVEc.S 와 Npki(Sun Solaris 봉사기 에서)， PKI 를 위 한 관리도구인 
Consoleone 을 포함하여 Novell PKI 를 형 성한다. PKI 를 설 치한후에 관리 상 과제 들이 여 러 
개 제기된다. 

기관적인 증명서권한 ( ca ) 을 창조 이것은 증서와 함께 공개열쇠와 비밀열쇠，증서 
고리 (허가고리)，기 타 구성정보로 구성된다. 비밀열쇠는 암호화되여 NDS 
에 보관되며 기관적 인 증명서권한 (CA) 은 NDS 의 Security 등록부에 보관된 
대상으로서 표현된다. 

봉사기증서대상을 창조 여 러 봉사기들의 증서는 하나의 봉사기에 보관될수 있다. 
PKI 형응용프로그람들은 봉사기 증서 들을 보관한 봉사기 에 있는 봉사기 증서 
를 리용하도록 구성 된 다. 

공개열쇠인증을 요구 공개열쇠 들은 최 소한 공개열쇠，대 상과 발행 이 름，유효주기， 
계렬번호，증명서권한의 수자서명을 유지하여야 한다. 

Novell 의 모듈인증봉사 ( NMAS ) 

NMAS 는 추가적 인 인증기 술을 Novell 의 견고한 보안체 계 에 첨부하여 설계되 였 다. 
NMAS 은 3 개 의 기 본요소 즉 가입인자，가입방법 과 순서，등급인증을 정 의한다. 등급인 
증은 첫 두개 요소의 결합이 다. 
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가입 인자 

가입인자는 사용자를 인증하는데 실제로 리용하는 유일한 자료들이다. 가입인자로서 
통과암호를 보자. 이것은 사용자만이 실지로 알고 있는것이다. 스마트카드는 사용자만이 
가지고 있는것이며 인체정보는 사용자에 해당한 생리학적으로 고유한 정보인것이다. 
NMAS 가 이 3 가지 인자들을 어 떻게 리용하는가를 보자. 

통과암호인증 통과암호를 지 원 하는데는 여 러 기 술들이 있 다. 관리 자는 현재 의 관리 
방책 또는 다른 실 현기 술들과 통합하는 가장 좋은 방법 을 리용하기 위하여 다 
음의 3가지 방안들을 선택할수 있 다. 

NDS 통과암호 사용자이름과 통과암호는 송신되기전에 암호화된다. 이것은 처리 
기의 속도를 저하시키고 부하를 증가시키지만 안전성은 담보된다. 

평문 사용자이름과 통과암호는 암호화되지 않고 평문으로 전송된다. 이것은 관 
리자가 지정하는대로 낮은 수준의 보안을 실현할수 있다. 전자우편과 같 
은 일반봉사들에 적용된다. 

SMA 1/ MD 5 이 기술은 자료를 망으로 전송하기전에 분할하거나 요약하는 방법으 
로 정 보를 변경한다. 처 리는 상대 적 으로 단순하며 안전은 기 본상 담보된 
다고 볼수 있다. 

물리적인 인증 통과암호기술과 같이 사용자의 물리적인 존재를 증명하는데는 여러가 
지 방법들이 있다. 어떠한 방법을 선택하는가는 보안방책과 현재의 하부구조， 
비용 등을 포함한 많은 인자들에 의존한다. 

스마트카드 합성 수지 카드(신용카드와 갈은 형 태 인데 더 두럽다. )에 는 수자서 명 
을 포함한 식별정보가 보관되 여 있는 프로그람화된 마이크로소편이 내장 
되여 있다. 

통표 손에 건사할수 있는 통표는 사용할 때 마다 매 번 유일 한 통과암호를 발생하 
는 장치 이 다. 통표는 보통 다음의 2 가지 방법중의 하나에 기초한다. 
신청-응답 사용자가 정확한 사용자이름과 통과암호를 제공하면 봉사기 가 우 
연수를 통표와 함께 보낸다. 통표에 보관되여 있는 사용자암호열쇠를 
리용하여 봉사기 가 보낸 우연수를 암호화하고 다시 봉사기 에 반환한 
다. 사용자암호열쇠의 복사본을 가지고 있는 봉사기는 우연수자체를 
암호화하고 결과를 비 교한다. 일 치하면 사용자가 인증된 다. 

시간동기 통표와 봉사기 는 특정 시 간내 에 는 갈은 수자를 발생하는 알고리 듬 
을 서로 공유한다. 사용자가 사용자이름과 통과암호를 성공적으로 
제공한후에 봉사기는 이 시점에서 통표에 있는 수자를 검사한다. 봉 
사기가 이 시간내에서 예견한 수자라는것을 확인하면 사용자는 인증 
된 다. 

인체정보인증 인체 정 보인증체 계 는 식 별과 인증을 위하여 측정 가능한 생 태 학적특징 을 
리용한다. 체계는 여러가지 류형의 수감부와 비교점들 즉 주어 진 대상에 유일 
하고 특징 적 인 자료들을 식 별 하는 쏘프트웨어 로 구성한다. 여 러 측면 에 서 비 교 
하여야 하는 인체정보인증체계에서는 사용자를 인증하기 위하여 통계적증명을 
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리용한다. 이러한 인증체계는 2가지 부류로 나누어 진다. 

정적 이 부류의 체계는 시간에 따라 변하지 않은 특징점들에 기초한다. 이러한 
특징들로서는 눈의 망막，지문, 얼굴특징 등이다. 

동적 이러한 체계는 사람의 활동과 같은 특징점들에 기초한다. 실례로 음성 또 
는 필적이다. 

방법과 순서 

가입 방법 은 가입 인자를 얻 는 과정 을 의 미 하며 가입 순서 는 하나이 상의 가입 방법 들이 
있을 때 그 실행순서를 의미한다. NMAS 는 가입방법과 순서에 따라서 망자원에 각이한 
권한으로 접근할수 있도록 등급인증을 지원한다. NMAS 는 방법과 순서를 8 가지 등급으 
로 정 의한다. 이 등급을 보안정 돈표식 이라고도 한다. 

• 인체정보，통과암호，통표 

• 인체정보，통과암호 

• 인체정보，통표 

• 통과암호，통표 

• 인체정보 

• 통과암호 

• 통표 

• 가입 (NMAS 방법 을 리용하지 않고 망접 근을 제 공한다. ) 

관리 자는 NetWare 기 록권들에 이 등급들을 할당한다. 사용자가 NMAS 를 리용하여 인 
증되였다면 사용자는 정돈된 대화를 가진다고 말한다. 만일 사용자가 기록권에 할당된 
등급과 갈은 NMAS 등급에 기초하여 인증되 였다면 그 기록권에 대 한 접근이 가능하며 낮 
은 NMAS 등급에 기초하여 인증되 였다면 접근이 불가능하다. 

인증방법 과 순서 가 단순히 통과암호에만 기 초하지 않으므로 NMAS 는 NetWare 의 접 
근조종을 더욱 강화하고 관리자가 망자원에 대한 접근조종을 강하고 유연하게 실현할수 
있게 한다. 

NetWare 보안의 세부변경 

Novell 은 봉사기 의 보안기 능을 더 욱 높일수 있는 여 러 가지 세 부변경기 능을 제 공한다. 
여 기 에 는 SECURE. NCF 조작과 조종탁파라메 터 의 여 러 가지 설정 들이 포함된 다. 

SECURE.NCF 

NetWare 에는 안전관련규칙을 서술하는 SECURE.NCF 파일이 있다. 이 파일은 봉 
사기가 기동할 때 여러가지 NetWare 보호기능들이 자동적으로 유효로 되게 함으로써 
봉사기 의 보호기 능을 높여 준다. SECURE.NCF 를 조작하여 다음의 기 능들을 수행 할수 
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있 다. 


• 암호화되지 않는 통과암호의 지원을 무효화 

• 일반통과암호를 리용한 조사가능성을 무효화 

• 기동시 불량기록권의 자동적 인 회복기능 제공 

• 불량 ncp 파케트의 거부 

모든 설정들은 대상으로 하는 망체계를 보안상 C2 등급으로 실현할 필요가 있는 경 
우에만 요구된다. C2 등급이 요구되지 않는다면 리용하고 싶지 않는 설정들은 주해를 참 
고하여 선택적으로 조작할수 있다. 

보안조종탁 

Secure Consol 지령 이 봉사기조종탁으로부터 기동할 때 다음의 보안기능을 제공 
한다. 


• SYS:SYSTEM 등록부에 보관된 쏘프트웨 어 를 봉사기 만이 적재 할수 있게 한다. 

• 조종탁오유추적도구프로그람을 무효화시 킨 다. 

• 조종탁조작자를 제외한 다른 사람이 시간과 날자를 변경시키는것을 금지시 
킨 다. 

Secure console 지 령 이 일 단 기 동하면 봉사기 를 재 기 동하지 않고서 는 무효화시 킬 
수 없다. 안전조종탁의 특징은 봉사기가 조종탁에서 공격을 방어할수 있게 설계되였 
다는것이다. 

원격조종탁접근의 보안 

NetWare 는 워 크스테 이 션에 서 원격 에 있는 봉사기 조종탁에 접 근할수 있게 구성 되 였 
다. 접 근은 Rconsole 도구프로그람 또는 임 의의 telnet 프로그람을 리용하여 제 공된다. 원격 
조종탁접 근시 에 발생 하는 여 러 가지 보안상 문제 들이 있 다. 이 러 한 취 약성 은 다음의 단락 
들에서 상세히 서술한다. 

系종탁통과암호의 안전 

NetWare 3. 2이 전 판본들에 서 는 조종탁통과암호를 AUTOEXEC.NCF 에 평 문형 태 로 포 
함하였다. 그러 므로 이 파일에 대 한 읽 기접근권한을 가진 사용자라면 통과암호를 알수 
있다. 봉사기조종탁에 접근하는데 리용되는 통과암호가 secretpass 인 경우 지령은 다음과 
같다. 


398 




load remote secretpass 


NetWare 4. lx 판본이 상부터 는 원격 접 근을 Inetcfg 도구프로그람에 의 하여 관리 한다. 
Inetcfg 의 기 본차림 표에 서 Manage Configration 수 Configure Remote Access 를 선택하여 원 
격 조종탁통과암호를 포함한 모든 원격접 근파라메터 들을 정 의한다. 

Inetcfg 의 문제 는 통과암호정 보가 SYS : ETC \ netinfo.cfg 파일 에 평문으로 보관된 다는것 
이 다. 이것은 아주 불리하다. 만일 Web 또는 nfs 와 같은 IP 봉사를 기동하고 있다면 사용 
자에게는 이 등록부에 대한 읽기접근이 제공된다. 그러므로 임의의 합법적인 체계사용자 
가 잠재적으로 봉사기조종탁에 접근할수 있게 된다. 

따라서 조종탁통과암호의 암호화가 요구된 다. 이 를 위하여 봉사기 조종탁에 서 다음의 
지 령을 실행한다. 


load remote < password > 
remote encrypt 〈 password 〉 


그림 13-14 에 서 암호화된 통과암호를 포함하는 파일 SYS : SYSTEM \ LDRE MOTE.NCF 
의 창조를 보여 준다. 



그림 13-14. 원격조종탁통과암호의 암호화 

- E 스위 치 는 통과암호가 암호형 태 로 보관된 원격프로그람이라는것 을 나타낸 다. 여 러 
가지 선택 을 통하여 다음의 기 능을 수행할수 있 다. 
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• AUTOEXEC.NCF 파일에 있는 INITSYS.NCF 조작실행에 앞서 LDREMOTE.NCF 

파일을 기동한다. 

• AUTOEXEC.NCF 파일에 있는 진체 지령을 복사하여 붙일수 있다. 

• Inetcfg 도구프로그람의 원격접 근통과암호마당에 -E 스위 치 와 암호화된 통과암호 
를 복사하여 붙일수 있다. 


일러두기 

선택 은 자유지 만 LDREMOTE.NCF 조작을 리 용하는것 이 제 일 합리 적 이 다. 그것 은 
SYS:SYSTEM\ 등록부에 암호화된 통과암호를 보관하고 Inetcfg 의 지 령 들을 유지 할수 
있기때 문이 다. 


Telnet 를 리용한 조종탁접근 

물론 NetWare 가 telnet 를 리 용하여 봉사기 조종탁에 접 근할수 있는 기 능을 제공하지 만 
그것 이 좋은 방법은 아니다. 가장 큰 문제는 telnet 대화가 봉사기에 등록되지 않는다 
는것 이 다. Rconsole 련 결 은 체 계 기 록정 보에 자기 입 구점 을 가지 고 등록되 지 만 이 와는 
달리 telnet 는 흔적을 남기지 않고 봉사기에 련결된다. 

telnet 를 기 동할 때 다른 문제 는 봉사기 인증이 평 문통과암호를 리 용하는것 이 다. 그러 
므로 조종탁통과암호를 암호화한다고 하여 도 telnet 는 그것 을 평 문으로 전송하기 때 문에 
파케트람지기를 가진 공격자에게 로출될수 있다. 


경 고 

Inetcfg 도구프로그람은 Rconsole 과 telnet 지 원을 동시 에 또는 개 별적 으로 선택 할수 있 
게 한다. 그러 나 telnet 지 원을 무효로 선택할것 을 권고한다. 


판도라인자 

NetWare 봉사기에 대한 매우 성공적인 공격전략은 판도라 (Pandora) 로 알려 져 있다. 좀 
더 설 명 한다면 대 등한 공격 과는 반대 로 설정하여 현재 추진중인 프로젝 트와 도구로 되 여 
있는 관도라는 NDS 의 결점과 단독봉사기가 아닌 전체 NDS 체계에 대한 접근획득을 시도 
한 NetWare 파케 트서명의 결함을 리 용하였 다. 


주 의 

대 다수의 해커도구와 같이 판도라도 자기자체의 보안 특히 사용자통과암호의 강玄 
를 시험해 보려는 합법적망관리 자에게 아주 쓸모 있는 도구그룹이 다. 참고할수 있 
는 Web 폐 지 주소는 www. nmrc. org/pandora/index. html 이 다. 
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판도라방어를 위한 몇가지 단순한 방책들이 있다. 


• 판도라는 오직 통과암호가 16문자이하인 경 우에 만 유효하다. 그러 므로 통과암 
호가 17문자이상인 경 우 판도라(현재판)는 무효하다. 관리 자통과암호는 적 어 
도 17문자이상 되여야 한다. 

• 일부 판도라도구는 NetWare 봉사기의 SYSTEM 등록부에 대 한 접근에 기초한다. 
그러므로 관리자만이 이 등록부에 대한 권한을 가지도록 하면 된다. 

• 판도라가 감시기 를 리용하므로 모든 관리워 크스테 이 션들을 분리시켜서 감시 공 
격으로부터 보호한다. 

• 모든 관리워 크스테 이 션들과 봉사기 들이 3준위파케 트를 리용하도록 구성한다. 

요 약 

이 장에서는 NetWare 봉사기환경을 어떻게 안전하게 하는가에 대하여 고찰하였다. 
NetWare 는 아주 안전한 환경을 제공하지만 망환경을 좀 더 안전하게 하기 위하여서는 
몇가지 세부변경 이 필요하다. 이 장의 마감에서 구좌관리와 파일접근권한 그리고 NDS 조 
사를 어 떻게 진행 하는가에 대 하여 설명하였다. 또한 왜 원격조종탁에 대 한 통과암호의 
안전문제 가 중요한가에 대 하여 서 도 설 명하였 다. 

다음 장에서는 Windows NT 와 NT 봉사기의 안전문제에 대하여 고찰한다. 
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제 1 4 장 . NT 와 Windows 2000 


Windows NT 봉사기 는 가장 일 반화된 의 뢰 기 -봉사기 플래 트홈중의 하나이 다. Windows 
2000은 Microsoft 의 제일 중요한 제품인 조작체계의 다음갱신판으로서 보안측면에서 현저 
한 개선을 실현하였다. 

NT 봉사기 의 보안성 은 기 정 으로는 좀 낮은 수준이 다. Windows 2000은 기 정구성 으로 
서는 좀 안전하지만 여전히 보안상 부족점을 내포한다. 두 체계의 기정구성의 보안성을 
높이 는 여 러 가지 방법 들이 있 다. 이 장에 서 는 NT 조작체 계 의 기 초적내 용으로부터 시 작하 
여 더 안전한 NT 환경 을 구축하는 방법 에 대 하여 설명한다. NT 와 Windows 2000을 비 교 
하고 Windows 2000의 고유한 보안요구들에 대 하여 설 명 한다. 

NT 에 대한 개팔 

NT 봉사기 의 기 본조작체 계 는 32 bit 이 다. 16 bit Windows 응용프로그람들과의 호환성 과 
갈은 일부 문제들이 있지만 이것은 OS 을 보다 안전하게 구축할수 있게 한다. NT 는 다중 
과제방식으로 동작하며 다중스레 드화가 제공된다. 그러므로 임의의 단일프로쎄스가 CPU 
사용을 독점하는것 을 방지한다. 

NT 봉사기는 NT 워크스테 이션과 Windows 95, Windows 98과 같이 32 bit Windows 응용 
프로그람 작성대 면부를 리용한다. 그러 므로 프로그람작성 자가 류사한 프로그람작성환경 
에서 더 안전한 응용프로그람을 만들수 있게 한다. 실례로 Windows 탁상응용프로그람을 
만드는데 익 숙한 프로그람작성 자는 Win 32 대 면부를 리용하여 류사하게 NT 봉사기 에 서 프 
로그람을 만들수 있 다. 이 것은 NetWare 봉사기 에 서 리 용하는 NetWare 적 재 모둘 ( NLM ) 과는 
대 조적 이 다. NetWare 봉사기 를 위 한 코드를 작성 하는 프로그람작성 자는 NLM 프로그람작 
성환경을 잘 알아야 한다. 

봉사기 가 Windows 워 크스테 이 션과 같은 Win 32 대 면부를 리 용하므로 대 부분의 탁상 
응용프로그람들이 지 원된다. 그러므로 체 계를 전용봉사기 로 리용하지 않는 경우에 아 
주 편리하다. 체계를 봉사기전용으로 리용하는 NetWare 와는 달리 NT 봉사기는 사용자 
워 크스테 이 선 으로써 도 리 용할수 있 다. Win 32 를 지 원 하는 봉사기 는 체 계 관리 자를 위 한 
실시간절약기라고도 할수 있다. 그것은 탁상기계에서 동작시키는 모든 도구들이 봉사 
기에서도 동작하기때문이다. 


죽 __- 

유감스럽 게도 NT 는 NetWare 의 Rconsole 또는 UNIX 의 telne 竹 elnet 봉사기는 Windows 
2000봉사기에 포함되여 있다.)와 갈은 원격조종기능들은 지원하지 않는다. 


Microsoft 의 Web 싸이트와 그것의 자원들로부터 원격으로 봉사기의 일부 기능을 관리 
할수 있는 도구들을 얻을수 있으나 규약을 직접 추가하거나 제거，응용프로그람의 기동， 
원격워크스테이션에서 NT 봉사기에로의 접근 등은 할수 없다. 이러한 기능을 제공하는데 
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는 제 3자의 쏘프트웨어 가 필 요하다. 

NT 는 체 계구성정 보의 대 부분을 보관하기 위하여 등록고라는 자료기 지 를 리용한다. 
이것은 사용자구좌，봉사，체계의 장치구동기들일수 있다. 실례로 자료공간 
HKEYJJ 況 RS 에 는 사용자구좌와 관련한 정 보들이 보관된다. 구성값들을 유지 하는 자료 
공간의 마당들을 열쇠라고 한다. 

등록고의 우점은 정보를 집중적으로 보관하고 정보찾기와 변경을 쉽게 한다는데 있 
다. 거 의 모든 NT 설정 이 도형대 면부를 통하여 변경 될수 있 으며 많은 설정항목들은 등록 
고안에 서 반드시 수동적 으로 변경 되 여 야 한다. 등록고의 보기 와 변경 을 위하여 리용되 는 
도구는 regedt 32이 다. 

NT 봉사기는 4개까지의 처리기를 지원하는데 하드웨어지원이 있으면 32개까지 증가시 
킬 수 있 다. 처 리 기 추가의 우점 은 봉사기 성 능을 향상시 킨 다는것 이 다. 


가상기억 

NT 봉사기 는 봉사기 우에 서 동작하는 응용프로그람들이 서 로 갈은 주기 억 i 간을 리 
용하지 않도록 분리시키는 기능을 제공한다. 또한 가상기 억의 리용도 지원한디 가상기 
억은 봉사기가 체계에 설치한 물리적기억보다 더 큰 기억공간을 주기억으로 사용할수 
있게 한다. 우점 은 응용프로그람이 더 큰 주기 억 공간을 자유로 리용할수 있 다 근것 이 고 
부족점 은 가상기 억 이 디 스크에 보관된 자료리용을 전제 로 하므로 주기 억 보다 ᅧ 근시간 
이 100분의 1정도로 더 느리다는것이다. 

가상기억을 리용한다고 하여 주기억공간의 크기를 임의로 줄일수는 없다 그것은 
경우에 따라서 해당한 체계의 정상운영을 담보하는 최소의 주기억공간이 규정 되여 있 
기때 문이 다. 실례 로 Microsoft 권고에 의하면 단순히 파일, 인쇄 기， HTTP , WIN ， DHCP 
봉사를 제공하는 봉사기인 경우 최소 주기억공간이 32 MB 이다. 일부 체계는 i 격기동 
으로 가동한다. 이러한 체계의 성능은 반드시 떨어 진 다. 이러 한 류형 의 체계 [■에 서 는 
적어도 96〜128의 주기억공간이 요구된다. 


등록고에 체 계 구성 정 보의 대 부분을 포함하고 있기 때 문에 변경시 에 매 우 조심하여 야 
한다. 비 상시 리 용할 회 복디 스크를 준비한후에 반드시 등록고를 편집하여 야 하며 변 
경으로 인한 효과를 정확히 리해한 기초우에서 변경을 진행하여 야 한다. 


NT 령역구조 

NT 봉사기 는 사용자와 그롭관리 를 위하여 Windows NT 등록부봉사를 리용한다. 이 것 
은 이 름자체 가 의 미하는바와 같이 NetWare 의 NDS 와 같이 완전히 계 층화된 등록부봉사 
는 아니 다. 이 것은 령역의 리용에 기 초한 일반적 인 보안구조이 다. Windows 2000에서는 
NT 등록부봉사를 개 선하여 능동등록부로 교체하였 다. 능동등록부에 서 는 Windows 환경 을 


403 





계층구조로 관리한다. 

령역은 하나의 보안방책에 따라 서로 련결되여 있는 워크스테이션들과 봉사기들로 
이루어 진 그룹을 의미한다. 사용자는 한번의 가입으로 령역안에 있는 모든 봉사기들에 
대 한 접근권한을 엄을수 있다. 즉 매 봉사기 에 일일히 가입 하여 야 할 필요가 없어 진다. 

령역정보보관 

령역정보는 령역조종기에 보관된다. 매 령역에는 반드시 령역조종기 ( PDC ) 가 있다. 
PDC 는 모든 령 역 정 보의 원본을 가지 고 있 다. 다른 NT 봉사기 는 2차령역 조종기 ( BDC ) 로 
설정될수 있다. BDC 는 PDC 로부터 갱신된 정보를 밤으므로 령역정보의 복사본을 가지게 
된 다. 가입하는 사용자는 PDC 또는 BDC 에 의해 인증될 수 있 다. 

이러한 구조는 전체 령역모형에서 봉사기가 다소나마 중추적인 역할을 담당하게 한 
다. 실례로 사용자가 망자원에 접속하기 위한 가입정보를 가지고 있다면 BDC 도 이러한 
가입 정 보의 복사본을 가지 게 된다. PDC 에 있는 가입 정 보가 변경되 면 다른 BDC 에 도 변 
경이 진행되여야 한다. 그러나 BDC 봉사기의 가입정보는 자동적으로 갱신되지 않는다(즉 
PDC 에 의하여서만 진행된다.). 


일러두기 

가입정보를 보안방책의 일부 측면에 국한시켜 리용하지 말아야 한다. 왜냐하면 사용 
자들이 임의의 시각에 Ctrl+C 를 눌러서 가입정보로부터 탈퇴하기때문에 모든 경우를 
고려하여 가입 정 보를 리용하여 야 한다. 


령역신릐 

계 층구조를 모방하기 위하여 령역 들이 신뢰 관계 를 가지 도록 구성할수 있다. 하나의 령 
역 이 다른 령역을 신뢰할 때 신뢰된 령역의 사용자들은 자기 령역 에서 가지 고 있는 접근권한 
을 그대 로 유지할수 있다. 실례 로 령 역 A 가 령 역 묘를 신뢰 한다고 할 때 령 역 B 에 있는 모든 
사용자는 같은 권한으로 령역 A 의 자원에 접근할수 있다. 그러나 령역 B 가 령역 A 를 신뢰하 
지 않으므로 령역 A 에 있는 사용자는 자기의 권한을 유지하며 령역 B 의 자원에 접근할수는 
없다. 신뢰는 한방향 또는 쌍방향으로 구성할수 있다. 이것을 각각 한방향신뢰，쌍방향신뢰 라 
고 한다. 

령역 들사이 신뢰 관계 를 작은 환경 에서 세 분화하면 불리하다. 실례 로 하나의 를퓨터 에 
대 하여 령 역 들사이 신뢰 관계 를 구성 하는것 은 망관리 에 서 뿐아니 라 망통신에 서 도 복잡성 을 
초래한다. 그러므로 함께 작업하는 콤퓨터들을 한번에 매개 령역에 조직적으로 접속하여야 
한다. 다른 문제는 여러 령역에 대한 접속을 요구하는 적은 수의 사용자들이 있는 경우이다. 
NetWare 에서 는 간단히 접 근을 요구하는 등록부들에 가명 대 상을 창조하면 된다. Windows NT 
에서는 다중신뢰관계를 창조하지 않으면 불가능하다. 이러한 복잡성을 초래하기보다는 적은 
수의 사용자들을 위한 작은 그롭을 새로 창조하는편이 낫다. 


404 




신릐구조설계 


신뢰는 보안강화에 리용될수 있다. 한가지 규칙은 단순성을 유지하여 야 한다는것 이 
다. 신뢰관계수는 오직 하나 또는 둘로 제한된다. 이것은 신뢰관계가 복잡하게 창조되지 
않도록 한다. 또한 관리의 단순성도 보장한다. 그러면 언제 령 역신뢰관계가 리용되는가? 
그림 14-1 에서 그 실례를 보여 준다. 


PDC POC PDC 



Notes 봉사기 워크스테이 4 

그림 14-1. 령 역신뢰 가 요구되 는 망 


이 환경 에서 는 여 러 가지 NT PDC 와 BDC 봉사기 가 있다. 또한 Windows NT 우에서 
동작하는 여러개의 Lotus Notes 봉사기도 있다. 망은 2 개의 그름으로 관리된다. 하나는 
자료기지，전자우편 등 모든 Lotus Notes 동작을 담당하며 다른 하나는 모든 망기능을 
담당한다. 

문제 는 Notes 그롭이 전체 망에 대 한 접 근을 관리하지 못하도록 하여 야 한다는것 이 다. 
이러한 문제는 Notes 그를의 성원들이 불필요한 망자원접근을 하지 않는다는것을 담보하 
여 야 하는 경 우에 발생한다. Notes 그롭의 성 원들은 자기직 능을 수행 하기 위 하여 서 는 완 
전한 관리자권한이 보증될것을 요구한다. Notes 봉사기에 대한 완전한 관리자권한을 가지 
지 못하면 체계를 정 확히 관리할수 없다. 

방도는 2 개 의 Notes 봉사기 를 자기 령 역 에 대 한 PDC 와 BDC 로 하는것 이 다. 이 러 한 2 
차령역 은 본래 의 1 차령역 을 신뢰하도록 구성할수 있 다. 령 역구성 을 그림 14-2 에 보여 준 
다. 신뢰 관계 는 Notes 그롭이 망의 다른 부분에 대 하여 서 는 관리 자준위접 근을 가지 지 못 
하지 만 2 개 의 Notes 봉사기 에 대 하여 서 는 관리 자준위접 근이 보증되 도록 구성되 여 있다. 
이 러 한 신뢰 관계 는 또한 1 차령 역 의 관리 자들이 관리 자준위 접 근을 2차령 역 에 서 도 그대 로 
유지할수 있 게 한다. 
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2 차령역 1차령역 

그림 14-2. 신뢰관계 


사용자구좌 

} 용자구좌는 관리 도구프로그람그룹에 있는 사용자관리 자도구프로그람에 의해 
사용자관리자도구프로그람을 그림 14-3 에 보여 준다. 여기에서는 사용자추가 
.롭배당，구좌방책정의를 할수 있다. 

L 든 사용자접근속성은 파일과 등록부，공유허 가를 제외하고는 이 대면부를 - 
i 다. 파일체 계허 가는 Windows NT 탐색 기 에서 설정한다. 



그림 14-3. 사용자관리 자도구프로그람 





사용자관리 자도구프로그람에 서는 국부구좌와 령 역구좌를 둘 다 관리할수 있다. NT 
봉사기 와 의 뢰 기 체 계 는 령 역 밖에 서 관리 되 는 국부구좌를 가진다. 국부구좌를 NT 체 계 자 
체가 관리하도록 하기 위하여서는 령역과의 련결을 차단하고 매 체계에 일일이 련결하여 
야 한다. 국부구좌를 원격 으로 관리하려 면 사용자관리 자도구프로그람에 서 User—Select 
Domain 을 선 택 하고 령 역 이 름대 신 에 체 계 이 름을 입 력 시 킨 다. 


일러두기一 

다중 NT 체 계 에서 국부관리 자 통과암호를 변경 시키 면 아주 시끄러 운 문제 들이 발생 
한다. Group23 이 이 과제 를 자동화하기 위한 Peri 스크립 트를 만들었 다. 스크립 트는 
www.emruz.com/g23/. 에서 찾을수 있다. 


SID 와 관련한 작업 

보안식 별자 (SID) 는 매 사용자와 그롭에 배 당한 유일한 식 별번호이 다. SID 의 형 태는 
다음과 같다. 

S-Revision Level-Identifier Authority-Subauthority 

초기의 S 는 이 번호가 SID 임을 나타낸다. 부분권한을 제외하고 모든 값들은 령역안 
의 매 사용자와 그룹에 대 하여 서 는 갈다. 부분권한은 사용자와 그를들사이 를 구별하는 
유일한 번호를 제공한다. 잘 알려 진 SID 에는 여러개의 부분권한번호들이 있다. 이것은 
부분권한번호가 매 NT 령역 안에서는 일관성이 유지되기때문이다. 실례로 관리자구좌는 
항상 부분권한값이 500 이다. 이러한 정보는 공격자들이 목적구좌를 엄는데 리용될수 
있 다. 


추 __- 

Microsoft 지 식 문서 Q163846 에 는 관련구좌들에 따라 모든 SID 번호가 목록화되 여 
있 다. 


잘 알려 진 SID 의 불법리용 

Microsoft 와 많은 보안전문가들은 NT 관리 자구좌의 이름을 바물것을 권고한다. 론리적 
으로 공격자는 관리자가 리용하는 가입이름을 모르면 관리자구좌를 엄을수 없게 되여 있 
다. 그러 나 Exgenii Rudny 가 만든 도구프로그람들은 애매한 보안시도를 얼마나 쉽게 우회 
할수 있는가 하는것을 보여 준다. 

그림 14-4 는 Rudnyi 의 2 개의 도구프로그람들의 리 용을 보여 준다. 먼저 user2sid 는 사용 
자 또는 그룹이름에 기초하여 이 구좌에 대한 SID 를 얻어 낸다. 

이 미 설명한바와 같이 SID 는 부분권한열쇠 를 제 외 하고는 모든 구좌에 대 하여 같다. 
다음에 SID 번호(관리 자구좌인 경 우 500) 를 리용하여 목적하는 구좌를 찾을수 있 다. 그림 
14-4 에 서 보여 준바와 같이 관리 자구좌가 Admin-renamed 로 이 름이 바뀌 였 다. 신속히 검 
사하여 이 구좌가 목적하는 관리 자구좌임 을 알수 있 다. 
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그림 14-4. User 2 sid 와 sid 2 user 도구프로그람 


죽 __ oj 

Rudnyi 의 SID 도구프로그람은 www.ntbugtraq.com 에서 내 리적재할수 있다. 


일러두기 

관리 자구좌의 이 름변경 은 체 계보호를 다소나마 지 원한다. 더 좋은 방법 은 관리 자구 
좌가 견고한 통과암호를 리용하도록 하며 실패한 모든 가입 시 도들을 기 록해 놓는것 
이 다. 


보안구좌관리자 

보안구좌관리자 (SAM) 는 모든 사용자구좌정보가 보관된 자료기지이다. 여기에는 사 
용자가입이 름， SID, 매 통과암호의 암호문들이 포함되 여 있다. SAM 은 체 계보안관리 를 
책임진 국부보안권한(내시에서 리용된다. LSA 는 어떤 준위의 접근이 보증되는가를 
확인하기 위하여 사용자와 SAM 을 결 부시 킨다. 

SAM 은 \WinNT\system32\config 등록부에 보관된 파일 이다. 조작체 계 가 항상 이 파일 
을 열기때문에 사용자는 접근할수 없다. SAM 파일은 여러 위치에 놓일수 있지만 관리에 
서 는 주의할 필 요가 있 다. 

\WinNT\repair 이 등록부에는 압축형태로 보관된 SAM 파일복사본이 있다. 최소한 
관리 자와 손님 구좌를 위 한 입 구점 을 포함하게 된 다. 

비상회복디스크 비상회복디스크를 창조할 때 SAM 파일이 플로피디스크로 복사 
된 다. 

여벌복사레프 NT 의 여 벌복사프로그람은 SAM 파일을 보관할수 있다. 

공격자가 이런 3 가지 형태로 보관된 SAM 파일에 접근할수 있는 경우 체계 
를 혼란시킬수 있다. 
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16장에서 구좌통과암호를 찾아 내기 위하여 힘 내기공격 이 어 떻게 SAM 파일에 가해 
지 는가에 대 하여 설 명한다. 


사용자관리방책구성 

NT 는 사용자접 근방책 을 정 의할수 있는 여 러 가지 설 정 들을 제 공한다. 설 정 들은 2개 
의 도구프로그람으로 분리된다 . 구좌속성과 사용자접근권한은 사용자관리 자도구프로그람 
에서 진행한다. 탁상변경은 사용자관리 자에 의하여 진행되지 만 방책 은 체 계방책편집 기 에 
의하여 창조된 다. 

구좌방책 

구좌방책 은 사용자관리 자에 서 Policies ᅳ Account 선택 에 서 설정한다. 그림 14_5에 서 보 
여 준 구좌방책창문에서는 체계인증과 관련한 모든 설정들을 할수 있다. 설정은 대역적 
이 다. 즉 모든 체 계사용자에 게 영 향을 준다. 매 선택 의 개 략적 인 설명 은 다음과 같다. 
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그림 14-5. 구좌방책창문 


통과암호의 최대수명 사용자에 게 통과암호변경 이 강요되 기전까지 의 시 간값을 의 미한다. 
시간주기가 너무 길면 보안상 위험이 존재하며 너무 짧으면 자주 통과암호를 설정하여야 하 
는 난점 이 있다. 보통 최대 수명은 30〜90일로 설정 한다. 
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통과암호의 최소수명 사용자에 게 통과암호변경 이 허 용되 기 전까지 경 과하여 야 하는 
시간값을 의미한다. 통과암호를 변경시킬 때 일부 사용자들은 통과암호의 유일성을 보장 
하기 위해서 반복되는 통과암호로 변경을 하려고 한다. 이 선택은 사용자가 과거설정을 
취소하든가 또는 현재 값으로 재설정할수 있게 한다. 통과암호의 최소수명을 설정하여 
사용자가 갈은 통과암호를 다시 리용하는것 을 제 한할수 있다. 보통 3일 부터 7일 까지 의 
값을 설 정한다. 

통과암호의 최소길이 접수할수 있는 가장 짧은 통과암호의 길 이를 의 미한다. 16장에서 
설 명 하는 LanMan 통과암호의 하쉬 취 약성 으로 하여 최 소길 이 를 8문자로 할것 을 제 의 하였 다. 

통과암호의 유일성 체계가 매 사용자에 대하여 이전에 사용한 통과암호를 몇개까지 
기 억 해 두어 야 하는가를 지 적한다. 이것은 사용자가 통과암호변경시 이 설정값만한 통과 
암호들에 대 하여 서 는 다시 반복하여 리용할수 없게 한다. 보통 통과암호의 최 대 수명 을 
고려하여 같은 통과암호가 1년 에 한번 이 상 다시 리용되 지 않도륵 설 정한다. 

구좌차단 이 설정 은 사용자가 불법통과암호에 의한 가입시 도가 몇번만에 차단되 여 
구좌가 무효로 되 는가를 정 의한다. 이 설정 은 유효한 사용자구좌를 가지 고 통과암호를 
추측하려는 공격시도를 막는데 리용된다. 공격 자에게 어떤 구좌를 가지고 너무 많이 시 
도하지 못하도록 그리 고 사용자들에 게 는 자기 의 정 확한 통과암호를 얻 기 위해 몇 번의 시 
도는 허 용할수 있 도륵 균형 을 맞추어 서 5〜6으로 설 정한다. 

계수재설정 이 설정 에서는 불법 가입 이 다시 반복될수 있는 최 소시 간주기 를 정의한 
다. 실례로 구좌차단이 5로 설정되고 계수재설정이 30 min 으로 설정된 경우 체계는 5번 
실패 한 가입 시 도가 30 min 안에 다시 발생 하면 구좌를 차단시 킨다. 30 min 후에 계 수기 는 재 
설정 되 며 다음의 첫 가입실패 로부터 계 수가 시 작된다. 환경 에 따라서 이 값은 30 min 으로 
부터 하루까지 설정된다. 

차단지속 만일 구좌가 지나친 가입시도로 하여 차단된 경우 이 설정은 구좌차단이 얼 
마동안 지속되 는가를 정 의한다. 고도의 보안이 요구되 는 망에서 는 이 설정 이 무한대 이 다. 
이 것은 구좌가 체 계관리 자에 의하여 재설정될 때 까지 차단된다는것을 의 미한다. 이 설정 기 
능은 관리 자가 구좌차단이 침 입 자에 의한것 인가 또는 자기통과암호를 잊 어 먹는 사용자에 
의한것 인 가를 검 열 할수 있게 한다. 많은 환경 들에 서 차단설 정 은 규정 된 시 간주기 후에 는 구 
좌가 유효로 되도록 되여 있다. 이것은 사용자가 자기구좌를 차단시킨 경우 관리자가 그 차 
단원 인을 해 명하는데 유효하다. 또한 DoS 공격 을 막는데 도 효과적 이 다. 어 떤 공격 자들은 합 
법적 인 사용자들을 차단하기 위하여 의도적 으로 불법통과암호를 리용하여 다중가입 을 시도 
한다. 지속설정 에 의하여 관리 자개 입없이 구좌가 유효로 되게 할수 있다. 

원격사용자련결의 강제해방 시간제한이 리용될 때 이 설정은 제한시간이 만기될 때 
는 탈퇴하지 않은 모든 사용자들의 련결을 끊어 버린다. 이것은 사용자가 작업 시 간후에 
는 계속 가입 을 유지 하지 못하도록 함으로써 공격 자에 게 작업할수 있는 유효구좌가 부여 
되지 않도록 하는데 유효하다. 


일러두기 

이 설정은 또한 모든 문서파일을 닫아서 적당한 여벌복사처리가 진행되도록 하는데 
서도 유효하다. 
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사용자가 통과암호를 변경하기 위하여서는 가입하여야 한다 Windows 환경에서 사용자 
는 자기의 통과암호를 국부적으로 변경하고 후에 변경사항을 봉사기로 보낼수 있다. 이 
설정 은 사용자가 오직 령역 에서 인증된 대화가 유지될 때 만 자기통과암호를 변경할수 있 
다는것 을 의미한다. 이것은 공격 자들이 NT 령 역안의 통과암호를 수정 하기 위하여 국부적 
인 취 약성 을 리용하지 못하게 한다. 

Passfilt.dll 에 의한 통과암호 보안의 강화 

Microsoft 는 Service Pack 2 내 에 passfilt.dll 파일을 후에 추가로 포함하였다. 이 파일은 
사용자의 통과암호를 더 엄격한 규범 에 맞게 신청하도록 함으로써 통과암호의 보안을 강 
화할수 있 게 한다. PassfilLdll 파일 은 다음의 검 사를 수행한다. 

• 통과암호는 6개 문자이 상이 여야 한다. 

• 통과암호는 대문자와 소문자，수자，특수문자(적어도 3 종류는 요구된다.)를 혼 
합하여 만들어야 한다. 

• 통과암호는 가입이름 또는 사용자이름의 변종이 될수 없다. 

구좌방책 은 더 긴 통과암호를 요구할수는 있지 만 더 짧게 규정할수 없 다. 령 역관리 
자는 이 설정 을 사용자별로 제 한시 킬수는 있다. 이것은 사용자관리 에서 특정사용자를 관 
리 하거 나 통과암호마당에 서 특정 통과암호를 설 정 할수 있 게 한다. 이 통과암호는 
passfilLdll 에 복종되지 않는다. 

PassfilLdll 을 실 행 하기 위 하여 서 는 등록고열 쇠 를 입 력 시 킨다. 

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA\Notification Packages 

다음에 PASSFILT 문자렬을 추가한다. 이 미 설정 된 열쇠값은 지 울수 없 다. 

사용자의 권한 

사용자권한은 사용자관리 에 서 Policies—User Rights 를 선택 하여 설정 한다. 그림 14-6 
에서 사용자권한방책창문을 보여 준다. 사용자권한은 사용자 또는 그룹이 봉사기에 대 



그림 14-6. 사용자권한방책창문 


411 





한 특정작용을 수행할수 있게 한다. 권한은 오른쪽 내 리펼침차림 표에서 선택 하고 Grant 
To 칸에 서 어 느 사용자와 그룹이 이 권한을 보증하는가를 지 적 한다. Show Advanced User 
Rights 검사에 의해 오른쪽 내 리펼침차림 표가 추가적 인 선택 항목을 현시하도록 한다. 중요 
한 일부 권한들은 다음단락들에 서 설정한다. 

망으로부터 이 콤퓨터에 점근 이 권한은 령 역사용자가 령 역안에 있는 매 봉사기 들과 
원격 으로 인증할수 있다는것 을 의 미한다. 이 권한은 이름봉사기와 같은 특정봉사기 를 제 
외 하고 모든 령 역봉사기 들에 작용한다. 


일러두기 

관리 자의 이 름변경대 신에 관리 자와 동등한 새 로운 구좌를 창조하고 이 구좌를 령 역 
관리에 리용할수 있다. 이것은 망으로부터 이 콤퓨터에 접근한다는 권한을 관리자구 
좌으로부터 제 거할수 있게 한다. 관리 자는 여 전히 망이 아닌 조종탁으로부터 가입할 
수 있을것 이 다. 또한 실패한 가입 시 도를 기 록하면 누가 관리 자로서 령 역 에 침 입하려 
고 했는가를 검열할수 있다._ 


여벌파일과 등록부 이 권한은 모든 파일허가설정을 대신하며 이 권한을 가진 사용자 
가 전체 파일체계에 대한 읽기접근을 가지게 할수 있다. 


여 벌파일과 등록부권한은 위험한 권한이 다. 왜 냐하면 관리 자와 등가라는것 을 알림 이 
없이 전체 체계에 대한 접근을 사용자에게 주기때문이다. 사용자는 이 권한으로 
SAM 을 복사하고 통과암호크래커를 통하여 체계 에 혼란을 조성할수 있게 하는 가능 
성을 가지게 된다. 


우회횡단검사 개선된 사용자권한인 우회횡단검사는 사용자가 설정된 허가준위에 관 
계없이 파일체계를 검열할수 있게 한다. 파일허가는 여전히 제정되여 있지만 사용자는 
등록부들을 자유로 검 열할수 있 게 된 다. 

국부가입 령역을 관리할 때 이 권한은 누가 PDC 또는 BDC 조종탁으로 가입할수 있 
는가를 정 의한다. 조종탁접 근은 관리 자준위구좌로 제 한되 여 있 다. 이 설정 은 봉사기 에 대 
한 물리 적 공격 을 단념하게 할수 있 다. 그러 나 완전히 막지 는 못한다. 망으로부터 이 콤퓨 
터에 접근한다는 권한과 같이 이 권한은 불법사용자가 봉사기실에 들어 와서 직접 봉사 
기 에 접 근하려 고 시 도하다가 실패한 가입 을 추적할수 있게 한다. 

검열과 보안기록관리 파일과 대상검열이 가능할 때 이 권한은 어느 사용자가 보안 
기 록을 검 열할수 있는가를 정 의 하고 어 떤 파일 과 대 상이 검 열 되 여 야 하는가를 지 정한다. 


§一2 — 

누구에게 이 권한을 부여하는가에 대하여 주의하시오. 왜냐하면 공격자가 체계에 침 
투할 때 흔적 을 숨기 기 위하여 이 권한을 리 용할수 있기 때 문이 다. 
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보안방책과 프로필 

방책은 사용자의 워크스테이션환경기능을 조종할수 있게 한다. 여기에는 조종판의 
숨김으로부터 탁상에 없는 프로그람의 기동무효까지 모든것을 포함한다. 방책은 령역에 
대하여 대역적으로 설정되거나 또는 특정사용자 또는 그룹에 대하여 설정할수도 있다. 
프로필은 사용자의 탁상환경을 요구에 따라서 구성할수 있게 한다. 이것은 특정구좌에 
의한 령역인증과 말단사용자에게 탁상환경이 어떤 형식으로 나타나는가 하는 형태로 구 
성된다. 여기에는 특별한 프로그람그룹 또는 색선택과 화면보호기까지도 포함될수 있다. 
프로필 을 수행 하는데 서 여 러 가지 방법 이 있 다. 

위임프로필 탁상환경이 무조건 적재되는 프로필이다. 

위임프로필은 봉사기로부터 적재되며 그 어떤 변경도 허용되지 않는다. 만 
일 사용자가 탁상환경을 변경하면 다음번의 가입에서 재설정된다. 

국부프로필 국부기 계 에 서 적 재 되 며 변경 가능한 프로필 이 다. 

사용자가 각이 한 워 크스테 이 션으로부터 인증된다면 탁상환경 은 다르게 나타 
난다. 

망프로필 배회프로필이 라고도 한다. 망프로필은 사용자가 자기의 탁상설정을 임 
의의 망워크스테이션으로부터 받을수 있게 한다. 망프로필은 위임 또는 변 
경될수 있는 프로필이다. 

방책은 보안방책실현에서 유효하다. 실례로 방책이 사용자가 체계에 쏘프트웨어를 
적재 할수 없게 되 여 있다면 프로필에서 새로운 쏘프트웨 어의 설치프로그람을 기동하는데 
필요한 도구들을 제거할수 있다. 프로필은 표준탁상을 구성할수 있게 많은 관리도구들을 
포함한다. 

리 용방책 

방책 은 관리 자도구프로그람그롭에 있는 체 계 방책 편집 기 를 리 용하여 창조한다. 그림 
14-7 에 체 계방책편집 기 를 보여 준다. NT 봉사기 에서만 다른 NT 체 계 에 적 용되 는 방책 을 
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창조할수 있 다. 만일 Windows 95/98 체 계 를 위 한 방책 을 창조하려 고 한다면 WinNT 등록부 
로부터 Windows 95/98 콤퓨터 로 Poledit.exe 파일을 복사하여 야 한다. 그다음 Windows 95/98 
체 계 에서 방책편집 기 를 기동하여 야 한다. 


죽 __°1 

방책 편집 기 는 방책 을 창조하려 는 조작체 계 우에 서 기 동하여 야 한다. 


방책편집 기는 사용자워크스테 이 션환경의 기능을 조종할수 있게 한다. 이 것은 체 계， 
사용자，사용자그룹에 의해 수행된다. 방책편집기의 기정설정은 모본 체계와 모든 사용자 
를 위하여 정의되는 방책을 창조할수 있게 되여 있다. 더 큰 환경을 창조하려면 체계와 
그룹，사용자를 주가하는데 Edit 차림 표를 리 용할수 있 다. 



그림 14- 8. 단순한 방책 

그림 14-8 에 보여 준 망은 4 개의 그룹으로 구성된다. 

• 손님령 역 

• 관리 자령 역 

• 사용자령역 

• 고급사용자 

매 그룹들은 자기 성 원들에 게 보증된 접 근준위 에 기 초한 탁상을 형 성하도록 할수 있 
다. 실례 로 손님령역은 최소한의 탁상환경 을 가지 게 하고 관리 자령역은 모두 탁상기능들 
에 접근할수 있게 할수 있다. 사용자령역과 고급사용자그름에는 손님령역과 관리 자령 역 
사이의 탁상기능을 가지도록 할수 있다. 이것은 탁상환경을 여러 준위로 정의할수 있게 
한다. 

기계 방책 

기계방책을 구성 하기 위 하여서는 관리하려는 기계대상을 두번 찰칵한다. 그림 14-9 
에 콤퓨터 속성창문을 보여 준다. 

여기서 모든 기계에 대하여(만일 기정방책이 수정된다면) 또는 특정기계에 대하여 
(Edit ᅳ Add Computer 를 선택 한다면) 실 시하려 는 방책 을 설 정 할수 있다. 더 유용한 일 부 
기계방책설정들이 여기에 목록화되여 있다. 
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그림 14-9. 기 정 콤퓨터방책 을 위한 콤퓨터 속성 창문 

SNMP 정신가능 이 설정은 체계가 SNMP 갱신을 SNMP 관리조종탁으로 전송할수 
있게 한다. 

기동 이 설정은 어떤 프로그람들이 체계기동시에 기동하여야 하는가를 결정한다. 

공유 이 설정 은 관리 가능한 공유가 창조될수 있는가를 결정한다. 

공유등록부 이 설정은 공유된 프로그람그름이 체계에 창조될수 있는가를 결정 
한다. 

가입표식 이 설정은 가입설정을 정의한다. 이것은 체계접근을 고려한 공동방책을 
보여 주는데 리용할수 있 다. 

인증창문으로부터 정지 이 설정 은 정 지선택 이 가입인증화면에 서 가능한가를 정 
의한다. 이것은 사용자가 체계 에 인증됨 이 없이 체 계를 정지할수 있게 
한다. 기 정은 이 선택 이 무효이 다. 이 칸을 선택 함으로써 정지선택 을 유 
효로 한다. 

마지막가입이■을 연시하지 않는다 이 선택 은 마지 막가입이 름이 새 로운 가입시 에 
나타나지 않게 한다. 기 정 으로 Windows 는 체 계 가입 을 수행 한 마지 막사용 
자를 기 억하며 인증창문의 가입이 름마당에 현시한다. 


사용자와 그룹방책 

사용자와 그롭방책 을 구성 하기 위 하여 서 는 관리 하려 는 대 상을 두번 찰칵한다. 
그림 14-10 에 보여 준 속성창문이 현시된다. 리용할수 있는 방책설정 의 일부는 다음 
과 같다. 
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그림 14-10. 기 정사용자방책 에 대 한 속성창문 


실행지령제거 사용자가 과제띠에서 Start ᅳ Run 을 선택하여 지령을 실행하지 못하 
게 한다. 

설정가능성제거 사용자가 Start ᅳ Setting 을 선택하여 체 계구성 을 수정하지 못하게 
한다. 

탐색지령제거 사용자가 Start ᅳ Find 를 선택하여 국부구동기 를 람색하지 못하게 한 
다. 

나의 콤퓨터에서 구동기숨김 사용자가 나의 콤퓨터그림기 호를 리용하여 국부찾기 
또는 구동기넘 기 기를 할수 없게 한다. 

망숨김 사용자가 망을 찾지 못하게 한다. 

등록고편집도구무효 사용자가 등록고열쇠 를 수정하지 못하게 한다. 

허용된 Windows 응용만 기동 관리자가 사용자가 기동할수 있는 응용프로그람들을 
정의할수 있게 한다. 


방책 유효 

방책 을 창조한 다음 NETLOGON 공유에 보관하면 유효로 된다. NETLOGON 공유는 
\WinNT\System32\Repl\Import\Seropts 등록부에 있다. 방책은 모든 PDC 와 BDC 의 NETLOGON 
공유에 복사되 여 야 한다. 

모든 NT 체 계 에 방책 을 적 용하기 위 하여 서 는 Ntconfig.pol 에 방책 을 보관하면 된다. 
만일 Windows 95/98 사용자들에게 적용되는 방책을 창조하였다면 Config.pol 로 방책 을 보 
관하고 이 파일을 NETLOGON 공유에 복사한다. Windows 체 계 는 령 역 에서 인증될 때 방책 
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이 실시 되 고 있 다면 이 특정 파일을 찾는다. Windows NT 체 계 는 Ntconfig . pol 파일 을 찾고 
Windows 95/98체 계 는 Config . pol 파일 을 찾도록 구성 한다. 

파 일 체 계 

NT 봉사기는 2개의 파일체계 즉 FAT 와 NT 파일체계 ( NTFS ) 를 지원한다. 둘 다 긴 파 
일 이 름을 지 원 하지 만 FAT 는 500 MB 까지 구동을 위 하여 최 적 화되 여 있 고 NTFS 는 500 MB 
이 상까지 구동하도록 설계되 였 다. NTFS 는 응용프로그람과 사용자파일을 보관하는데 더 
우수한 파일체계 이 다. FAT 에서는 지원하지 못하지만 NTFS 에서는 파일과 등록부준위의 
허가까지 지 원 한다. 


추 __°1 

지워 진 파일의 회 복은 오직 FAT 파일체 계 에서만 지 원된다. NT 는 전적 으로 NTFS 구 
동기에서 지운 파일을 회복하는 도구는 지원하지 않는다. 


허 가 

파일 과 등록부에 대 하여 2가지 류형 의 허 가가 있 다. 즉 공유허 가와 파일 허 가이다. 공 
유허가는 사용자가 원격으로 공유된 파일체계에 접근할 때 리용된다. 사용자는 공유허가 
를 통해서 파일접근을 시도할 때 공유허가는 사용자의 접근이 허용되는가를 검사한다. 

파일허 가는 파일과 등록부에 직접 할당하는 접근권한이 다. 공유허가와는 달리 파일 
허 가는 파일체 계 에 접근하는데 리용되 는 방법 을 고려 함이 없이 실시된다. 이 것은 사용자 
가 파일체계에 국부적으로 접근한다면 공유허가는 설정되지 않았지만 여전히 파일준위허 
가에 의하여 접 근할수 있 다는것 을 의 미한다. 


죽 __°1 

이러한 구별은 Web 봉사기와 같은 봉사의 허가설정에서 중요하다. Web 봉사기 
에 대 한 접 근설 정 은 파일준위허 가에 의 하여 서 만 조정 된 다. 이 때 공유허 가는 
무효하다. 


망의 공유자원에 접근할 때 허 가는 중첩된다. 이것은 사용자에게 아주 엄격한 준위 
의 접 근을 제 공한다는것 을 의 미한다. 실례 로 원격사용자가 완전조종접 근권한을 가지 고 
있다고 하여도 읽기접근만을 허용하는 공유자원에 대해서는 읽기접근만이 가능하다. 그 
림 14-11 에 공유문서 속성창문을 보여 준다. 

보안이라고 표식한 표적 에서 는 다음단락에서 설명하는 파일준위허 가를 설정한다. 
공유문서 속성창문에 서 허 가단추를 설정하면 그림 14-12 에 보여 준 공유허 가접 근창문 
이 나타난다. 
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그림 14-11. 공유문서등록부의 
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그림 14-12. 공유허가접근정 
으로는 모두에게 공유자원에 대 한 완전조종접 


Microsoft 의 파일공유는 모두에게 완전접근을 담_ 
주 재 검 토하고 가능한 접 근준위 를 제 한하여 야 힌 


준위 는 각이한 그룹들 또는 특정 사용자들과 ^ 






비접근 공유자원에 대한 접근이 허락되지 않는다. 

읽기 사용자 또는 그룹은 등록부구조를 검열하여 파일보기，프로그람실행을 할수 
있 다. 

변경 사용자 또는 그룹은 읽기허가를 가지며 파일과 등록부를 추가，삭제할수 있 
다. 허가는 현재 파일이 변경된 경우에도 보증된다. 

완전조종 사용자 또는 그룹은 변경허가를 가지며 파일허가를 설정하고 파일과 
등록부의 소유권을 가질수 있다. 

기정설정 보다 더 많은 공유허 가설정 을 그림 14-13 에 보여 준다. 이 구성 에서는 기정으 
로 접 근조종목록에 아무도 없으므로 누구도 접 근권한을 가지 지 못한다. 사용자령 역그룹에 
속한 사용자에게는 변경 준위 접 근이 허 용된다. 관리 자령역 에는 공유자원에 대 한 완전조종이 
허 용된 다. 그러 므로 관리 자령역 이 요구되 는 모든 관리 기 능들을 수행할수 있 게 된 다. 



일러두기 

공유허가를 수정 할 때에는 항상 먼저 령역 관리자에 대한 허가를 추가하시오. 
그것 은 령 역관리 자들이 접 근권한을 가지 지 못하게 공유자원을 구성할수 있기때 
문이 다._ 


공유허 가를 구성한 다음 변경 사항이 보관되 도록 0 K 를 찰칵하시 오. 화면을 닫기 전에 
공유준위를 다시 검사하는 습관을 가지는것이 좋다. 공유허가는 즉시 유효로 되여 이 공 
유자원에 대 한 접근을 요구하는 모든 사용자들에게 접근가능성을 준다. 

파일 보안 

파일 허 가는 또한 탐색 기 에서 등록부지 정，오른쪽 찰칵，속성창문열 기 를 한 다음 설정 
할수 있다. 여 기서 보안표적 을 선택하면 그림 14-14 에 보여 준 창문이 나 타난다. 

창문에는 파일허가와 검열 또는 파일소유권을 조작할수 있는 3개의 단추가 있다. 
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파일과 등록부허 가는 허 가단추를 선택하여 수정한다. 그림 14-15 에 등록부허가창 
을 보여 준다. 그림에서 알수 있는바와 같이 파일과 등록부허가조작은 공유허가조작과 거- 
류사하다. 차이는 더 많은 선택항목들이 있다는것 이 다. 



J add. | b*，*i 1 an- | 


그림 14-15. 등록부허가창문 

화면우에 2개의 검사칸이 있다. 공유자원대신에 등록부를 조작하여 체 계는 등록부 
의 모든 대 상들에 적 용하려 는 보안변경 을 진행할수 있다. 만일 현존파일 에 대 한 허 가 
환검 사칸만이 유효로 되 여 있 다면 허 가는 등록부안의 파일 들에만 적 용된 다. 부분등록- 








허가변경이 적용된다. 두개의 검사칸이 다 무효이면 허가는 등록부에만 적용되고 다른 
등록부 또는 파일들에는 적용되지 않는다. 

공유허가와 같이 파일 또는 등록부허가는 사용자 또는 그룹과 특정접근준위를 결합 
하여 설정한다. 등록부허 가를 조작할 때 7가지준위의 허 가를 설정할수 있다. 이것은 접근 
허 가설정보다 좀더 세분화할수 있게 한다. 허 가설정은 다음과 같다. 

비접근 등록부접근을 허용하지 않는다. 

목록 사용자 또는 그롭이 등록부구조를 검열하고 파일목록은 볼수 있지만 파일 
접근은 할수 없다. 

읽기 사용자 또는 그룹이 목록허가를 가지며 파일보기와 프로그람실행을 할수 
있 다. 

추가 사용자 또는 그롭이 목록허가를 가지며 파일과 등록부를 추가할수 있다. 파 
일을 보거나 실행시킬수는 없다. 

추가와 읽기 추가와 읽기허가를 가지므로 파일을 추가하거나 볼수 있다. 그러나 
삭제와 변경은 할수 없다. 

변경 사용자 또는 그름은 추가와 읽기허가를 가지며 파일과 등록부를 지울수 있 
다. 현존파일 을 변경할수도 있다. 

완전조종 사용자 또는 그룹은 변경허가를 가지며 파일허가를 설정하고 파일과 
등록부의 소유권을 가질수 있다. 

특정접근 이 설정 은 파일과 등록부에 정 확한 권한을 배 당하도록 지 정할수 있다. 
선택은 읽기，쓰기，실행，지우기，변경허가 또는 소유권얻기이다. 이것은 
일반적 인 그룹으로 되지 못하여 어떤 하나의 허가만이 요구되는 경우에 
효과적 이 다. 실례 로 파일 에 대 한 실행허 가만을 설정하면 사용자는 등록부 
에 대한 접근을 가지지 못하지만 프로그람을 실행시킬수는 있다. 

공유허가와 같은 매 사용자 또는 그룹이 요구하는 최소준위의 접근을 결정하고 허가 
를 적 당히 설 정하여 야 한다. 

검열 단추 

검 열은 봉사기 의 파일 에 누가 접 근하는가를 감시할수 있게 한다. 속성창문에서 검 열 
단추를 찰칵하면 그림 14-16 에 보여 준 등록부검열창문이 나타난다. 여 기서 특정사용자 
와 그룹을 등록하고 등록하려 는 조작을 정의할수 있다. 실례 로 그림 14-16 에서는 등록부 
의 소유권과 허 가변경 을 검 열할수 있 다. 

이 특성 을 리용하기 위 하여 서 는 또한 사용자관리 자를 기 동하고 Policies ᅳ Audit 를 
선택하여야 한다. 검열이 유효로 되자면 동시에 파일과 대상접근이 허용되도록 설정되 
여 있어야 한다. 모든 검열입구점들은 사건보기 (Event Viewer ) 에 있는 보안기록에 보고 
편다. 


죽 __°1 

검열은 이 장의 《경과기록》에서 구체적으로 설명한다. 
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그림 14-16. 등록부검열 창문 


소유권단추 

속성창문에 서 소유권 단추를 눌러 서 파일 과 등록부의 소유권을 가지 도록 할수 있다. 
령 역관리 자는 항상 소유권(파일 또는 등록부의 완전조종을 가지 도록 제 공된 다.)을 가질 수 
있다. 만일 완전조종이 사용자령역 에 주어 지 면 이 사용자들은 소유한 파일 과 등록부의 
소유권을 가질수 있는 다른 사용자그룹을 선정할수 있다. 

경 과기 록 

모든 NT 사건들은 사건보기 (Event Viewer ) 를 통하여 보고된다. 사건보기는 관리 자도구 
프로그람그룹에 있다. 기정 으로는 체계와 응용프로그람통보문만이 기록된다. 그러나 여러 
보안관련사건들을 추적하도록 검 열기 능을 설정할수 있다. 이 것은 체 계 에서 무엇 이 진행 
되 고 있 는가 하는 매 우 상세한 정 보를 제 공한다. 

사건보기의 구성 

사건보기 에 는 여 러 가지 설정 들이 있다. 기 본차림 표에서 Log—Log Settings 를 선택하 
면 그림 14-17 에 보여 준 사건기록설정창문이 나타난다. 설정변경차림표에서는 체계，응 
용프로그람，보안기 록을 개 별적 으로 구성할수 있다. 기 록의 최 대 크기 의 설정뿐아니 라 기 
록정보가 방대해 지면 어떻게 하여 야 하는가도 지적할수 있다. 
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그 림 14-17. 사건 기 록설 정창문 


일러두기 

기 정 으로 설정되 여 있는 512KB 기 록공간은 너 무 작다. 사건보기 는 중요한 사건들에 
대한 추적정보를 기록한다. 그러므로 기록공간을 충분히 크게 하여야 한다. 3가지 형 
태의 기 록을 모두 보존하기 위 하여서는 기 록공간의 크기 를 4098KB 로 확장한다. 기 
록공간의 최 소크기 는 12MB 이 다. 이 경 우는 체 계 자체 의 정 상운영 을 위한 기 록정 보만 
이 보관된다. 


사건기록의 포장에 대한 기정설정이 또한 문제이다. 체계가 60일이상 기동하다가 파 
괴 된 원 인을 검 열한다고 할 때 어 떤 문제 가 생 기 겠는가? 한주일 마다 사건기 록정 보를 증 
복하여 보관하였 다면 체 계파괴원 인을 추적하는데 필요한 리 력 정 보가 모두 유지 되 지 못하 
였 을것 이 다. 3가지 형 태 의 기 록을 모두 유지 하기 위 하여 서 는 사건중복기 륵금지 설 정 을 유 
효로 변경한다. 이것은 기록파일이 기록공간을 초과하면 조종탁오유를 발생하지만 사건 
추적을 위한 리 력정보가 분실되는것보다는 유리하다. 

사건보기기록의 검사 

기록을 정상적으로 검사하도록 규정을 세워야 한다. 이것은 체계에 누가 침입했는가 
를 추적하는 좋은 방법 이 다. 기록정보는 관리 자가 없을 때 누가 체계 에 접근했는가를 보 
여 준다. 설정에 따라서 기록입구점들을 수동적으로 또는 자동적으로 검사할수 있다. 

수동적인 기록검사 

기록검사의 제일 단순한 기록검사방법은 반드시 조종탁으로부터 체계에 가입하도록 
하고 기록입구점들을 검사하는것 이 다. 하나 또는 2개의 봉사기가 있는 경우 이 방법 이면 
충분하다. 경 과기 록은 사건보기창문에 서 Log ᅳ Save As 를 선택하여 파일 로 보관하여 보존 
한다. 기 록정 보를 a.TXT 파일 로 보관하고 Excel 과 Access 와 같은 다른 프로그람에 의 하여 
검사하도록 할수 있다. 유연성디스크로 보관할 때 에는 먼저 압축을 하게 된다. 12MB 의 
가치 있는 기록정보를 쉽게 하나의 플로피디스크에 보관할수 있다. 

10이상의 NT 체계를 관리하는 경우 매 체계에서 검사를 진행하는것은 현실적이 못된 
다. 사건보기기 본차림 표에 서 Log—Select Computer 를 선택하면 그림 14-18 에 보여 준 콤 
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퓨터선택 대 화칸이 연시된다. 여 기 에서 Windows NT 체 계를 선택 하고 원격 으로 사건보기 기 
륵들을 찾아 볼수 있다. 이 것은 기 록정보를 집중적 으로 관리하는데서 효과적 이 다. 또한 
기 록정 보는 국부적 으로 보관되 도록 할수 있 으며 기 록정 보에 단일걸 음처 리 를 보존하도록 
할수도 있다. 



그림 14-18. 콤퓨터선택대화칸 


일러두기 

탁상체계가 Windows 95/98 이면 원격으로 사건보기의 기록정보를 볼수 있다. 이 경우 
에 Windows 95/98 을 위한 NT 관리자도구를 얻을 필요가 있다. 이것은 Windows 95/98 을 
위한 사건보기，사용자관리 자, 봉사기 관리 자를 포함한 실행 가능파일 (nexus.exe) 이 다. 이 
도구는 Windows 95/98 체 계 로부터 NT 령 역 을 관리 하는데 리 용된다. Nexus.exe 보존파일 은 
Microsoft 의 Web 싸이트에서 얻을수 있다._ 


자동적인 기록검사 

수백 또는 수천개의 NT 체계를 관리 한다면 모든 사건보기의 기록정보를 수동적으로 
검사할수는 없다. 많은 체계를 검사하여야 한다면 그 과정을 자동화할 필요가 있다. 자동 
적인 기록검사처리는 체계에서 일어 난 상황을 검열하기 위하여 사건보기기록정보를 람 
색하도록 한다. 

검 열하려 는 입 구점 이 발견되 면 표식 을 하여 검 열 할 필요가 있 다는것 을 체 계관리 자에 
게 알린 다. 자동적 인 기 록검 사처 리 는 어 떤 사건 발생 을 추적하는데 드는 사람의 작업 량을 
훨씬 감소시킨다. 

검사처리를 자동화하는 제일 안전한 방법은 기록자료를 원격체계로 전송하는것이다. 
기 록자료들이 전송될 때 공격 자들이 흔적 을 없애 기 위하여 전송자료를 수정하려 고 하므 
로 그것에 대 한 보호대 책 이 필요하다. 

Elmar Haag 는 NT 체계가 자기의 기록자료들을 syslogd 가 실행되고 있는 UNIX 체계에 
전송하는 프로그람을 만들었 다. 이것은 기록정 보를 통합하여 집중적 으로 자동처 리할수 
있게 한다. 
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체계사건의 검열 

검 열을 유효로 하기 위 하여서 는 사용자관리 자를 기동하고 Policies ᅳ Audit 를 선택하여 
야 한다. 그림 14-19 에 검 열방책창문을 보여 준다. 사건목록에 서 성 공，실 패 또는 둘 다 
동시 에 기 록하겠는가를 선택할수 있 다. 검 열 할수 있 는 사건들은 다음과 같다. 
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그림 14-19. 검열방책창문 


가입과 탈퇴 사용자가 체계에 가입하거나 탈퇴할 때 하나의 기록입구점을 창조 
한다. 

파일과 대상접근 검열되여 야 하는 파일과 대상에 접근할 때 기록입구점 이 창조된 
다. 검 열은 이 장에서 이미 설명하였 다. 

사용자권한의 리용 사용자권한이 확인될 때 기록입구점이 창조된다. 이 사건을 
선택하면 매우 큰 기 록파일 이 창조된다. 

사용자와 그를관리 사용자와 그룹이 추가，삭제，수정될 때 기록입구점 이 창조 
된 다. 

보안방책변경 그룹권한 또는 검 열사건과 갈은 보안방책 이 수정 될 때 기 록입 구점 
이 창조된다. 

재기동, 정지，체계 체계가 재기동하거나 정지될 때 또는 보안기록설정이 변경될 
때 기록입구점이 창조된다. 

프로쎄스추적 응용프로그람 또는 봉사호출을 추적한다. 이 사건을 선택하면 매 우 
큰 기록파일이 창조된다. 


검열항목결정 

검 열선정 이 유효로 주어 진 경 우에 는 감시 하려 는 사건들을 선택 하여 야 한다. Knee - 
jerk 호상작용은 모든것을 감시한다. 그러 나 이것은 실천적 이 못된다. 성능측면을 고려하 
여 기 록정 보검 열 에 필요한 시 간과 자원을 고려하여 검 열항목을 결정하여 야 한다. 가령 
매일 20 MB 의 기록정보가 생성되는 체계를 수동적으로 검사한다면 체계추적은 불가능 
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하다. 

해결방도는 극히 중요하다고 생각되는 사건들을 추적할수 있도록 보안방책을 설정하 
는것 이 다. 실례로 성 공하는 모든 가입 사건들에 대해서는 엄밀히 검열 할 필요가 없다. 이 
러한 정보들을 검열한다면 려과하여야 할 기록입구점들을 검사할 필요가 없다. 그러 나 
실패한 가입사건들에 대하여서는 경우가 다르다. 그것은 공격자들의 첫 시도가 체계접근 
을 엄는것이기때문이다. 


일러두기 

기본문제는 기록공간의 크기를 관리할수 있도록 유지하는것이다. 어떤 문제를 검 
사하는데 다시 리용되지 않는 기록입구점들은 계속 보존할 필요가 없다. 


보안림시보수 

NT 는 지난 몇년동안 보안상 여러가지 취약성으로 해서 손해를 보았다. 매달 2 또는 
3건의 주요보안결점들이 드러나고 있는것이 일반적이다. 이런 리유로 해서 안전하다고 
생 각되 는 모든 보안관련수정프로그람들을 리용하는것 이 중요하다. 검 사주기동안에 는 비 
제 품화된 봉사기 에 서 보안림시 보수프로그람들을 검 사한다. Microsoft 는 지난시기 자기 들 
이 만든 문제 점 들로 해 서 보안림시 보수프로그람들을 취 소할 필 요가 있 었 다. 


새 로운 보안림시 보수프로그람들을 문제 점 이 없 다는것 을 확인할 때 까지 제 품화된 봉 
사기들에 적용해서는 안된다. 


이 책 이 출판될 당시 는 Service Pack 6 a 가 최 신 주요수정프로그람이 였 다. SP 6 a 는 
NT 4.0 이 C 2 등급으로 보증되도록 한것으로 하여 중요한 의미를 가진다. C 2 보증은 국가안 
전보장국 ( NSA，National Security Agency ) 산하인 국가콤퓨터 보안쎈 터 ( NCSC ) 에 의 하여 진 
행된다. C 2 보증을 위하여서는 다음의 보안특성들이 요구된다. 

위임사용자식별과 인증 확인된 사용자를 식 별 하고 그들에 게만 체 계 자원접 근을 허 
용하도록 할수 있는 체계의 능력 

선정가능한 접근조종 사용자들은 자기 들의 요구에 맞게 정 보를 보호할수 있다. 
검열과 구좌 모든 사용자들의 자원접근을 추적하고 기록한다. 

대상재리용 이미 리용된 자원에 대한 사용자접근을 막을수 있는 조작체계의 능력 

MSA 는 C 2 보증을 위하여 다음의 절 차들을 리용하였 다. 

• 원천코드의 검사 

• 세부설계문서의 검사 

• 평 가에 서 나타나는 오유들이 수정 되 였는가를 확인하는 재 검 사 
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일러두기 

IIS 를 기 동하고 있 다면 설 치할수 있는 여 러 가지 다른 보안림시 보수프로그람들을 얻 
을수 있 다. Microsoft Web 싸이 트에 서 최 신보안림 시 보수프로그람목록을 보시 오. 


리용가능한 IP 봉사 

이 단락에 서 는 NT 봉사기 에 서 리 용가능한 IP 봉사들을 요점 적 으로 설 명 한다. NT 봉사 
기 에서 리용가능한 IP 봉사들이 목록화되 여 있는 봉사추가차림 표를 그림 14-20 에 보여 준 
다. 디 스크에 의한 선택단추는 제 3자의 개 발자가 만든 IP 봉사를 추가할 때 리용한다. 


[3( 血 •내■벼田 Md ， 려 H 
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그림 14-20. NT 봉사기에서 봉사추가차림표 


콤퓨터열람기 

IP 를 리용한 NetBIOS 를 사용할 때 콤퓨터열람기는 망상의 체계 이름목록을 창조하고 
유지한다. 또한 망이 웃과 같이 체 계우에 서 동작하는 응용프로그람목록도 제 공한다. 콤퓨 
터열람기의 특징은 다른령역의 이름들이 체계에 의하여 검사되도록 령역을 추가할수 있 
다는것 이 다. 

DHCP 중계국 

DHCP 의뢰기와 봉사기가 서로 분리된 2개의 망토막에 있을 때 DHCP 중계국은 두 체 
계사이의 중계기로서 동작한다. 

DHCP 중계국은 의뢰기의 DHCP 요구가 DHCP 봉사기가 있는 다른 망토막으로 전달되 
고 봉사기가 보낸 응답이 의뢰기로 전달되도록 중계기능을 실현한다. 우점은 매 론리적 
인 망마다 DHCP 봉사기 를 따로 설 정하여 야 하는 필 연성 을 제 거 한다는것 이 다. 중계 국은 
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의뢰기 와 같은 망토막에 또는 의뢰기 와 DHCP 봉사기의 망토막들사이 경계(경 로기 로서 동 
작한다.)에 위 치할수 있 다. 

DHCP 중계 국은 IP 규약설치 를 요구한다. DHCP 봉사를 지적 하기 위한 IP 주소가 적 어도 
하나는 필요하다. 


Microsoft 의 DHCP 봉사기 


DHCP 봉사기 는 NT 봉사기 가 IP 주소정 보를 자동적 으로 망의 뢰기 들에 제 공할수 있 게 한 
다. 의뢰기 가 DHCP 요구를 내보내면 DHCP 봉사기 에 의하여 IP 망에서 통신하는데 필요한 모 
든 정보 즉 IP 주소，부분망 마스크， 령역 이름， DNS 봉사기 등이 응답으로 주어 진다. 

DHCP 봉사기는 IP 규약설치를 요구한다. DHCP 봉사기가 설치될 때 DHCP 관리자를 위 
한 차림표가 관리도구차림표에 자동적으로 추가된다. 

Microsoft 의 DNS 봉사기 

Microsoft 의 DNS 봉사기는 NT 봉사기 가 의 뢰 기와 다른 DNS 봉사기의 요구에 응답할 
수 있게 한다. DNS 봉사기 가 WINS 변환을 리용하도록 구성되 여 있 다면 호스트이 름정 보 
는 NetBIOS 이 름체 계 에 기 초한 WmS 에 의하여 제 공된 다. 

DNS 봉사기는 대체로 본문파일형태로 수동적으로 유지되는 호스트이름정보를 요구한 
다. 만일 어 떤 봉사기 의 IP 주소가 변경되 면 그것 을 반영하여 DNS 표도 갱 신되 여 야 한다. 
DHCP 는 IP 주소정 보를 제 공하는데 리용한다. 그러 나 DNS 는 어 느 호스트이 름에 어 떤 IP 
주소가 배정되 겠는가 하는데 대 해서 는 미 리 알수 없다. 

WINS 변환을 리용함으로써 DNS 봉사기 는 WINS 봉사기 에 호스트정 보를 문의할수 있 
다. DNS 봉사기가 먼저 문의를 WINS 로 통과시킨다. WINS 봉사기는 IP 주소와 호스트이름 
을 대 응시 킨 NetBIOS 표를 리 용하여 응답을 만들어 DNS 봉사기 로 보낸 다. DNS 봉사기 에 
의하여 응답이 의뢰기 로 전송된다. DNS 봉사기는 모든 의뢰기요구를 단독으로 처 리할수 
있다. 그러므로 두개의 봉사를 같은 NT 봉사기 에 설치할 필요는 없다. 

DNS 봉사기는 IP 규약설치를 요구한다. DNS 봉사기 가 설치될 때 DNS 관리 자를 위한 
차림 표가 관리 자도구차림 표로 자동적 으로 추가된 다. 

Microsoft 의 인테^트정보봉사기 

Microsoft 의 인 터 네 트정 보봉사기 는 NT 봉사기 에 Web, FTP, Gopher 기 능을 추가한다. 
설치하면 의뢰기들은 HTML 페지에 접근할수 있고 FTP 를 통하여 파일을 전송할수 있으 
며 파일들에 대 한 Gopher 람색 을 수행 할수 있 다. 

Service Pack3 에 서 는 IIS3.0, NT4.0 에 서 는 IIS4.0, Windows 2000 에 서 는 IIS5.0 이 지 
원된 다. 

기 정 으로는 IIS 설 치 에 의 하여 Inetpub 등록부가 창조되 고 그 안에 4 개 의 등록부가 만 
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들어 진다. 첫 3개 의 등록부들은 3개 의 봉사기 들을 위한 기 본등록부들이다. 3개 의 봉사를 
위한 파일 과 등록부들이 자기 의 기 본등록부아래 에 놓이 게 된 다. 

넷 째 등록부는 스크립 트를 위 하여 사용된 다. CGI 와 WINCGI , Visual Basic , Perl 등으 
로 개발된 Web 응용프로그람들이 이 등록부에 적재될수 있다. 또한 일부 표본스크립트블 
과 개발도구들도 포함된다. 


죽 __°1 

IIS 와 관련된 취 약성 들이 몇 가지 존재한다. 이것은 아마 NT 조작체 계 자체의 경 우 
보다 더 많을것 이 다. 그러 므로 리용가능하고 안전한 모든 보안림시 보 수프로 그람 
들을 설 치하여 야 한다. 또한 IIS 등록부구조를 검 열하고 적 당한 허 가준위 를 설정하 
여야 한다. 


IIS 는 IP 규약설치를 요구한다. IIS 설치시 에 Microsoft 의 인터네 트봉사기 라는 차림표폴 
더 가 봉사관리 를 위하여 창조된 다. 


Microsoft 의 TCP/IP 인쇄 


Microsoft 의 TCP/IP 인쇄 는 NT 봉사기 가 렬 인쇄 데 몬 ( lpd ) 이 라는 UNIX 인쇄 를 지 원 할수 
있게 한다. TCP/IP 인쇄는 NT 봉사기가 lpd 를 지원하는 인쇄봉사기 또는 인쇄기가 직접 련 
결된 UNIX 체계 에서 인쇄할수 있게 한다. 

IP 인쇄는 또한 NT 봉사기 가 Microsoft 의 의뢰기 를 위한 인쇄교환기 로 동작하도록 한 
다. NT 봉사기는 IP 규약을 거처서 lpd 에 련결되며 이 자원을 NetBIOS 우의 망자원으로 공 
유할수 있게 함으로써 NetBIOS 만을 리 용하는 Microsoft 의 뢰 기 들이 인쇄 일 감을 의 뢰 할수 
있게 한다. NT 봉사기 는 인쇄일 감을 lpd 인쇄 기 로 보낸 다. 

Microsoft TCP/IP 인쇄는 IP 규약설치를 요구한다. 설치시에 LPR 라는 새로운 인쇄기 포 
구가 추가된다. 그림 14-21 에 인쇄기포구창문을 보여 준다. LPR 는 lpd 인쇄기에 대한 원 
격 접 근을 제 공하는 원격 렬 인쇄 기 (Line Printer Remote ) 이 다. 



그림 14-21. IP 인쇄설치시 LPR 포구의 추가 
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망감시기관리자 


망감시 기 관리 자는 NT 봉사기 가 망감시기 도구가 동작하고 있 는 체 계 ( NT 봉사기 )에 
원격으로 감시될수 있게 한다. 

망감시기도구와 관리자 

망감시기 도구는 NT 봉사기 로 들어 오고 나가는 모든 자료흐름과 방송프레 임 을 : 
있 다는것 을 제 외 하면 Novell 의 LANAlvzer 또는 망일 반탐지 기 와 류사한 망분석 : 



























인테^트규약들 우 I 한 RIP 


인 터네 트규약봉사를 위한 RIP 는 NT 봉사기 가 IP 규약을 위하여 방송하는 경 로정 보 
를 리용하고 전파할수 있게 한다. RIP 는 IP 규약을 지 원하는 동적경 로조종규약으로서 
NT 설치시에 설정할수 있다. Microsoft 의 Web 싸이트에서 RRAS 의 복사본을 내리적재할 
때에는 OSPF 동적경로선택규약지원이 추가된다. 

RPC 구성 

RPC 구성봉사는 NT 봉사기 가 원격처 리호출 ( RPC ) 를 지 원할수 있게 한다. RPC 는 국부 
체 계 에서 동작하는 응용프로그람이 원격체 계 에서 동작하는 응용프로그람이 제 공하는 봉 
사를 요구할수 있게 한다. 응용프로그람이 정확히 수행되자면 두 체계가 RPC 를 지원하 
여 야 한다. RPC 는 원격체계 에 있는 부분프로그람의 호출을 지원한다는것을 제외하면 보 
통의 함수호출과 류사한 기능을 제공한다. 

간단한 TCP / IP 봉사 

간단한 TCP / IP 봉사는 Echo 와 Chargen , Quote 와 같이 자주 리용되지 않는 일부 IP 응용 
프로그람들을 지원한다. 


1__5 

이러한 봉사가 필요하지 않으면 간단한 TCP/IP 봉사는 설치하지 말아야 한다. 왜냐하 
면 DoS 공격자들이 봉사기 또는 망전체에 대한 공격에서 Echo 와 Chargen 포구를 리용 
할수 있기때문이다._ 


Chargen 포구는 문자를 수신하면 전체 자모수자표를 귀환하는것으로 응답한다. Echo 포 
구는 자기 에게 전송되는 모든 자료흐름을 검 열하기 위하여 설계되 였다. 두 체계 가 이 두 
포구사이에 통신하도록 지어는 단독봉사기가 그자체와 통신하도록 파케트를 위조하는 비 
법적인 DoS 리용이 있다. 

Echo 포구는 Chargen 포구로 매 문자를 보내 고 Chargen 포구는 다시 매 문자에 대 하여 
전체 자모수자표로 응답한다. 결과 망리용이 100%에 이르므로 목적 지 에 도착하여 야 하 
는 합법적 인 자료흐름이 차단된다. 

S ■봉사 

SNMP 봉사는 NT 봉사기 가 SNMP 관리 국에 의 하여 감시 되도록 한다. 또한 NT 봉사기의 성 
능감시 자가 IP 통계 자료와 IP 응용 ( DNS , WINS 등)을 위한 통계 자료를 감시할수 있게 한다. 

SNMP 봉사가 설치될 때 NT 봉사기는 Hewlett - Packard 의 HP Openview 와 같은 SNMP 
관리 국에 구성 과 성 능정 보를 보낼 수 있 다. 이 것 은 NT 봉사기 와 SNMP 장치 의 상태 가 집 중 
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적 으로 감시되 게 한다. 감시 는 IP 또는 IPX 규약우에 서 수행 될 수 있 다. 

SNMP 봉사는 또한 NT 성능감시기기능을 추가한다. 실례로 봉사기가 수신한 IP 오유파 
케 트의 수 또는 WINS 문의 의 수를 감시할수 있 다. 또한 수신한 WINS 요청 의 수 또는 오 
유가 발생한 IP 파케 트의 수를 감시할수도 있다. SNMP 봉사와 적 용할수 있는 봉사는 둘 
다 성 능감시기 의 기 능을 추가하기 위하여 설 치 된다. 

Windows 인테 dl 트이름봉사 ( WINS ) 

WINS 봉사기 는 NetBIOS 체 계 가 표 5 교갑화를 리용하여 경 로기 를 통하여 통신 할수 있 게 
한다. WINS 봉사기 는 NT 봉사기 의 국부부분망에 서 p 마디 점 과 h 마디 점 을 위한 NetBIOS 이 름 
봉사기로 동작한다. WINS 는 체계의 NetBIOS 이름뿐아니라 IP 주소도 보관한다. 

망상의 매 \\ ONS 봉사기는 자기의 NetBIOS 표의 복사본을 가지 고 있는 다른 WINS 봉 
사기들을 주기적으로 갱신한다. 결과 망상의 매 체계에는 NetBIOS 이름과 IP 주소의 대응 
관계를 나타내는 하나의 동적 인 목록이 존재하게 된다. 이 목록이 매 wms 봉사기들에 
보관된다. 

P 마디점체계는 또 다른 NetBIOS 체계의 주소가 필요할 때 자기의 WINS 국부봉사기에 
요청 파케트를 보낸다. 요청 이 원격 부분망에 대 한것 이 라면 wms 봉사기는 원격체 계의 IP 
주소를 귀환한다. 이것은 원격체계가 망에 대한 방송프레임의 전파없이 IP 주소를 알수 
있게 한다. h 마디점이 리용될 때에는 WmS 봉사기가 특정호스트에 대한 입구점이 없다면 
h 마디점 이 요청파케 트를 방송한다는것 을 제 외 하고는 기 능상 p 마디점 과 같다. 

WINS 는 IP 규약의 설치를 요구한다. 설치시 WINS 관리 자를 위한 차림 표가 관리 자도 
구차림표에 추가된다. 


Windows NT 에서 파케트려과 

Windows NT 는 IP 자료흐름에 대 하여 정 적 파케 트러 과기 능을 제 공한다. 려 과기 능이 좀 
원시적 이기 는 하지 만 보안기능을 추가로 제 공하기 위하여 리용할수 있다. NT 는 정적파 
케트러과기능을 리용할 때 상태유지는 불가능하다. 이것은 NT 의 려과기가 합법적인 자 
료흐름과 공격 자들에 의한 자료흐름을 구별할수 없 다는것 을 의 미한다. 


둑 __°1 

정적 파케트려과와 동적 파케 트려 과에 대 하여서는 제5장에서 상세 히 설명 하였다. 


Windows NT 는 또한 파케 트려 과를 자료흐름의 어 느 방향에 대 하여 적 용하는가를 지 
적할수 있다. 모든 려과는 경계내에로 들어 오는 자료흐름 ( SYN =1) 에 대하여서만 진행된 
다. 이것은 NT 의 파케트러과기능이 공격자가 체계에서 나오는 정보를 중계하는것은 막 
지 못한다는것 을 의 미한다. 결 국 NT 는 IP 주소에 기 초한 려 과기 능은 수행 할수 없 다. 이 것 
은 접근조종방책이 모든 체계에 동일하게 적용된다는것을 의미한다. 다시 말하여 특정한 
부분망으로부터 의 접 근만을 허 용하도록 접 근조종방책 을 창조할수 없 다. 
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과케트려과가능성 


파케 트려 과를 허 용하기 위 하여 서 는 Network Properties — Protocols 에 서 TCP/IP 규약을 
두번 찰칵한다. TCP/IP 속성화면에서 IP 주소표적 을 선택 하고 창문의 오른쪽밑 에 있는 상 
세 (Advanced) 단추를 찰칵한다. 그림 14-23 에 상세 IP 주소화면을 보여 준다. 



그림 14-23. 상세 IP 주소화면 


여기서 보안허용검사칸을 유효로 한다. 다음 구성단추를 찰칵하면 그림 14-24 에 보 
여 준 TCP/IP 보안화면 이 나타난다. TCP/IP 보안화면에서 는 파케 트려과를 실현하는 접 근조 
종방책 을 구성할수 있 다. 
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그림 14-24. TCP/IP 보안화면 
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과케트려과구성 


TCP/IP 보안화면의 제 일 우에는 망기판을 선택하는 차림표가 있다. 여기 에는 체계에 
설치된 모든 망기판들이 목록화되여 있다. 그러므로 모든 망기판들에 대하여 개별적으로 
각이한 접 근조종방책 을 할당할수 있 다. 두개 의 부분망에 련결된 봉사기 에서 각이한 봉사 
를 제 공하도록 하는데 리용할수 있다. 실례 로 봉사가 HTTP(TCP 포구 80) 접 근만이 가능하 
도록 제한할수 있다. 



厂 IC1F/UDP HMiiii MDP1 



그림 14-25. 보호되지 않은 NT 봉사기의 포구조사결과 

TCP/IP 보안화면에서는 어느 봉사가 선택된 망기판을 통하여 접근될수 있는가를 정의 
할수 있다. 실례로 그림 14-24 에서는 DEC PCI 망기판에 련결되지 않은 모든 사용자들에 
게만 TCP 포구80인 봉사에 접근할수 있게 허용하고 있다. 이러한 접근규칙은 DEC PCI 망 
기 판에 직 접 련결된 부분망뿐아니 라 이 부분망의 뒤 에 위 치하는 다른 부분망에 대 해서도 
적 용된 다. 

파케 트려과설 정 의 효과를 리해 하기 위하여 그림 14-25 를 제 시한다. 그림 은 NT 봉사 
기 가 수행한 IP 포구조사의 결 과이 다. 이 봉사기 의 열린 포구들만을 검 사하였 다. 

그림 14-26 은 그림 14-24 에 보여 준 접 근조종방책 을 구성한 다음의 같은 NT 봉사기 
에 대한 포구조사의 결과이다. 

봉사요구에 응답한 포구는 오직 TCP 포구 80( HTTP ) 뿐이다. 체계가 여러개의 부분망에 
련결되여 있는 경우 파케트러과기능을 리용하여 Web 봉사에 대한 접근만이 가능하도록 
접 근조종방책 을 구성할수 있 다. 
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그림 14-26. 파케 트려과를 리용한 NT 봉사기 의 포구조사결과 

그림 14-24 의 TCP/IP 보안화면에 는 IP 자료흐름을 조종하는 3가지 선택창문들이 있 다. 
TCP 포구선택창문에서는 체계에 허용하는 내부로의 포구를 지정한다. 모두 허가선택단추 
를 유효로 하여 모든 TCP 자료흐름을 허 용할수 있 다. 또는 유일 허 가선택 단추를 유효로 하 
여 지정된 포구들에 대한 TCP 자료흐름만을 허용하게 할수 있다. 새로운 포구의 추가는 
TCP 자료흐름만을 허용하게 할수 있다. 새 로운 포구의 추가는 추가단추를 찰칵하고 내부 
에로의 포구번호를 입력하면 된다. 이러한 려과설정은 SYN -^. 설정된 TCP 파케트에 대 
해서 만 영 향을 미 친다. SYN 기 발이 설정 되 지 않은 자료흐름에 대 하여서 는 파케 트려과기 
능이 무효하다. 


죽 __°1 

NT 파케트러 과기 능이 내부로 들어 오는 방향에 대 해서 만 유효하다는것 을 명 심하여 
야 한다. 이 것은 응답을 요청한 호스트로 귀환시 키 기 위하여 포구번호를 열 어 놓을 
필 요가 없 다는것 을 의 미한다._ 


TCP 자료흐름의 려과와 같이 NT 의 파케 트러 과기 능은 UDP 자료흐름을 려 과할수 있 다. 
NT 파케트려과가 동적 이 아니 라 정적 이라는것을 명심하여 야 한다. 

이것은 NT 가 UDP 자료흐름의 려과에서 는 실제의 방화벽만큼 효과적 이 못된다는것을 
의 미한다. TCP 자료흐름에 대 하여 서 는 SYN 기 발의 설정 에 따라서 려과가 결정 된다. UDP 
는 기 발을 리용하지 않으므로 선택할수 없 다. 따라서 TCP/IP 보안은 전송층준위 의 접 속형 
자료흐름에 대 한 려 과기 능을 제 공하는데 리용할수 있 다. IP 규약선택창문에 서 는 추가단추 
를 찰칵하고 특정한 전송층규약이 름을 지 정하여 려 과기 능을 수행하도록 할수 있 다. 
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파케 트려과기설정 을 구성한 다음 반드시 OK 단추를 찰칵하여 야 한다. 또한 려 과기 능 
이 유효로 되자면 체계를 재기동시켜야 한다. 

NT 포구에 대하여 알아야 할 문제 

NT 는 둘이 상의 응용프로그람이 어 떤 특정포구에 서 충돌한데 대 하여 보고하지 않는 
다. 이 것은 파케 트려과에 의하여 차단된 포구가 사건보기 로 오유통보문을 발생하지 않는 
다는것 을 의 미한다. 이것은 또한 어떤 봉사가 기동하고 있는지 를 알기 위 하여서 는 체 계 
를 매우 주의 깊게 점검할 필요가 있다는 의미도 포함한다. 

실례로 그림 14-25 에서 보여 준 포구검열을 보자. 봉사기에는 다음의 봉사들이 기동 
하고 있다. 


• WINS(Port 42) 

• RPC(Port 135) 

• NetBIOS over IP(Port 139) 

• IIS 

ns 는 포구 21( FTP )， 포구 70( Gopher )， 포구 80(HTTP) 을 리용한다. 이것은 보통의 NT 봉사기 
와 같다. 이 포구들에 대해서는 망관리자의 의심을 자극하는 아무런 문제도 없다. 

그러나 이 봉사에는 아주 큰 문제점이 있다. 만일 이 체계에서 telnet 를 리용하여 포 
구70으로 원격접근하면 그림 14-27 과 같은 지령대기화면이 나타난다. 통과암호가 요구되 
지 않으므로 즉시 파일체계 에 접근할수 있다. 그러 나 결과는 Gopher 봉사기 로부터 예견한 
류형의 응답이 아니다. 
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그림 14-27. 일반 NT 봉사기에서 나타나는 지령대화 
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어떻게 이런 일이 일어 났는가? NT 봉사기에서는 NT 용으로 제공되는 LOpht 의 Netcat 
복사판이 기동하고 있다. Netcat 는 의 뢰기 뿐아니 라 봉사기 에서 도 가동할수 있다. 또한 
Netcat 는 같은 포구번 호로 대 기하는 다른 봉사와 결 합할수 있는 가능성 도 가지 고 있다. 
따라서 Gopher 봉사가 자료흐름을 검사하기전에 Netcate 가 내부로의 봉사요구를 접수하여 
처 리할수 있다. 이것은 망관리 자가 정 확한 봉사가 대 기 하고 있는가를 확인하기 위하여 
실 지 매 능동포구에 대 한 련결 을 시 도하여 야 한다는것 을 의 미한다. 

NT 는 같은 대기포구에 결합하려고 시도하는 다중응용프로그람들사이 충돌은 보고하지 
않기때 문에 Netcat 는 증거 오유통보문을 생성 하지 않는다. 심지 어 Netcate 를 기동하여 파케 트 
려 과방책 에 의하여 차단되 도록 가정한 포구에 대 한 내 부에 로의 봉사요구를 대 기하도록 하 
는것도 가능하다. 다시 말하여 요구가 려과되기전에 응용프로그람이 내부에로의 련결요구를 
접수할수 있다. 또한 이런 류형의 동작은 오유기록통보문을 발생시키지 않는다. 


일러두기 

이 이야기의 교훈은 아무리 견고하게 체계를 차단하였다고 하여도 체계검열을 정상 
적으로 실시하여 야 한다는것 이 다. 이 검 열에는 주기억에서 어느 프로쎄스가 동작하 
고 있는가의 검사뿐만아니라 매 능동포구에 련결할 때 어떤 류형의 응답이 수신되 
는가의 검사까지 포함된다. 


DCOM 의 보안 

분산요소대 상모형 ( DCOM ) 은 원격 처 리 호출 ( RPC ) 을 실 현 하는 대 상지 향방법 이 다. 
DCOM 은 때때로 대상 RPC 라고도 한다. DCOM 은 Microsoft 의 대상련결과 매몰 ( OLE ) 기능 
을 원격 으로 확장하기 위하여 설계되 였 다. OLE 에 비한 DCOM 의 우점 은 조작체 계의 다 
중특징을 지원하도록 설계된것이다. 

DCOM 의뢰기는 초기에 고정 포구 UDP 135 (NT RPC ) 로 DCOM 봉사기와 련결 한다. 그 
다음 DCOM 봉사기는 동적으로 포구를 할당한다. 이것은 DCOM 응용프로그람이 
NetMeeting 과 Exchange 와 같이 의뢰 기 자료흐름이 방화벽 을 통과하여 야 한다면 매 우 복잡 
하게 된 다는것 을 의 미한다. 단일 포구를 리용하는 대 부분응용프로그람(실 례 로 TCP 포구 
25를 리 용하는 SMTP ) 들과는 달리 DCOM 은 1023이 상의 모든 포구들이 열 린 상태 로 있을 
것을 요구한다. Windows 플래 트홈에 따라서 TCP 포구들과 UDP 포구들을 동시 에 또는 각각 
열어 놓을 필요가 있다. 이것은 명백히 DCOM 응용프로그람이 방화벽을 넘어서 들어 오 
는 엄중한 보안위협을 받을수 있다는것을 의미하기도 한다. 

DC 0 M 전송의 선택 

www . microsoft . com / coni / wpaper / dcomfw . asp°ll 엠.넬손 ( M . Nelson ) 이 쓴 론문이 있다. 론 
문에 서 는 DCOM 응용프로그람이 리 용하는 포구범 위 를 어 떻 게 제 한하는가에 대 하여 설 명 
하였다. 요약하면 Windows NT 4.0 을 제외 하고 모든 Windows 조작체계 가 DCOM 전송을 위 
하여 기 정 으로 TCP 를 리용한다는것 을 언급하였 다. 
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일러두기 

DCOM 이 리용하는 포구번호를 제한하는 가장 좋은 한가지 방법은 모든 체계가 같 
은 전송규약을 리용하도록 하는것 이 다. 


NT 4.0 체계에서 기정 DCOM 전송으로 TCP 를 리용하도록 변경하기 위하여서는 regedt 32 
를 기동하고 다음의 열쇠를 찾는다. 

HKEY _ LOCAL _ MACHINE \ Software \ Microsoft\Rpc 



등록고편집 기화면은 그림 14-28 에 보여 주었 다. 왼쪽 판은 특정열쇠 를 찾기 위하여 
검 열 할 필 요가 있 는 기 본대 상들을 보여 준다. 오른쪽 판은 실 지 열 쇠값을 보여 준다. 우 
의 열쇠 는 DCOM 이 리용하는 규약람색 순서 를 정 의한다. DCOM 에 리용되 는 첫 번째 규약 
은 ncadg _ ip _ udp 열쇠 값에 의 하여 정의된 UDP / IP 이 다. 

이 열쇠를 지정하고 오른쪽 판에서 값을 두번 찰칵한다. 이때 그림 14-29 에 보여 준 
다중문자렬창문이 나타난다. 우에서부터 아래 로 매 렬은 DCOM 이 리용하는 규약의 탐색 
순서 를 정 의한다. 실례 로 그림 14-29 에 서 는 DCOM 이 UDMP 를 리용하여 원격 체 계 와 련 
결 을 시 도하고 련결 이 실 패하면 IPX 를 리용하여 련결 을 시 도한다는것 을 정 의한다. 
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그림 14-29. DCOM 의 규약탐색순서 를 보여 주는 다중문자렬 편집 기 

TCP/IP 련결 을 먼 저 시 도하도록 기 정탐색순서 를 변 경 하기 위 하여 서 는 세번째 목록 
항에 있는 ncacn_ip_tcp 를 Cut 와 Paste 를 리 용하여 이 동한다. 변경 을 완성 한 다음 OK 단 
추를 눌러서 등록고편집 기를 랄퇴한다. 변경 이 유효로 되 자면 체 계를 재 기동할 필요가 
效다. 


일러두기 

다중문자렬 편집기에는 Edit 차림표선택이 없으므로 Cut 에는 Ctrl+X 를, Paste 에는 
Ctrl+V 를 리용한다. 


DCOM 에서 리용되는 포구들의 제한 

넬손의 론문에 서는 또한 DCOM 응용이 규정 된 포구만을 리용하도록 포구범 위 를 어 떻 
게 제 한하는가에 대 하여서도 설명하였 다. 이것 은 1023 이상의 모든 포구들이 아니 라 그 
일 부만을 제 한함으로써 파케 트려과기 또는 방화벽 을 통하여 DCOM 을 지 원 하는 부담을 
덜어 준다. 


W __21 

이 것은 어 느 응용프로그람이 DCOM 을 리용하는가는 제 한하지 못한다. 즉 단순히 
DCOM 자체 가 리용하는 포구들만을 제 한한다. 


DCOM 이 리용하는 포구를 정 의 하기 위하여 regedt32 를 기 동하고 이 장의 마지 막단락 
에 서 편집한 열쇠 로 돌아 간다. 


HKEY_LOCAL_MACHINE\Software\Microsoft\RPC 


열쇠 를 지정 하고 등록고편집 기의 차림 표에서 Edit—A 加 key 를 선택 한다. 그러 면 A 加 
key 대 화칸이 나타난다. 열쇠 이름마당에 Internet 를 입 력 하고 OK 를 찰칵한다. 

RPC 아래 에 서 Internet 라는 열 쇠 값을 볼수 있 다. Internet 대 상을 찰칵하여 입 구점 을 지 
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정 한다. 

표 14-1 에 이 열쇠에 추가할수 있는 값들을 보여 준다. 값들은 등록고편집기의 차림 
표에서 Edit—Add Value 를 선택하여 추가할수 있다. Add Value 창문이 나타나면 값이 름과 
자료형 을 입 구한다. 0 K 단추를 찰칵하여 문자렬편집 기 를 연시한다. 문자렬 편집 기창문에서 
표 14-1 에 제시한 문자렬값을 입구한다. 

DCOM 이 고정된 포구번호들을 


표 14>1 리용하도록 변경할 때 요구되는 열쇠 


값 이 름 

자료 형 

문자렬값 

Ports 

REG_MULTI_SZ 

57100-571200 

57131 



PortsIntemetAvailable 

REG_SZ 

Y 

U serlntemetPorts 

REG—SZ 

Y 


포구문자렬값은 DCOM 의 어 느 포구들을 리용하여 야 하는가를 정 의한다. 매렬은 특 
정포구번호 또는 포구범위를 지정한다. 실례로 표 14-1 에서 포구 57 100-57 120 은 DCOM 이 
리용할수 있는 포구범 위 를 정 의한것 이 다. 또한 추가로 5 기 31 이 정의된다. 방화벽 을 거 쳐 
서 DCOM 을 지 원하려 고 한다면 포구열쇠 와 결합되 는 문자렬값들은 인터네 트에서 봉사기 
로 열어 놓을 필요가 있는 내부에로의 포구번호들로 정의된다. 


추 __- 

DCOM 포구를 할당할 때 1 〜 49151 포구들을 절대로 고정적으로 할당하지 말아야 한 
다. 그것 은 이 포구들이 다른 봉사를 위하여 리 용되든가 또는 DCOM 응용이 기 동하 
기 전에 체 계 에 의 하여 동적 으로 할당되 기 때 문이 다. 정 적 인 포구배 당시 에 는 49152 〜 
65535 사이 의 포구번 호들만 리 용하여 야 한다. 더 자세 한 정 보는 ftp://ftp.isi.edu/in- 
notes/iana/assignments/port-numbers 에 서 참고하시 오 . 


DC 0 M 과 NAT 

DCOM 에 대한 한가지 경고는 렬 IP 주소정보가 체계들사이를 통과한다는것이다. 이 
것 은 망주소변환이 리용될 수 없 다는것 을 의 미한다. NAT 는 사설 적 인 IP 주소공간을 인터 
네 트통신목적 을 위하여 리용되 는 합법 적 인 IP 주소공간으로 변환하는데 리 용된다. 
DCOM 봉사기 가 NAT 기 능을 수행 하는 장치 뒤 에 있 다면 DCOM 은 동작할수 없 다. 그것 은 
자료흐름에 NAT 에 의한 IP 주소변환을 요구하는 의뢰기통신도 포함되기때문이다. 만일 
인터네 트상에서 DCOM 응용을 지 원할 필요가 있다면 NAT 를 IP 주소정 보를 변환하는데 
리용할수 없 다. 
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일러두기 

만일 자료흐름이 VPN 통로를 따라서 전송된 다면 사설 주소공간을 인 터네 트를 통하 
는 DCOM 응용에 리용할수 있다. 이것은 통로가 NAT 실행없이 사설주소공간을 리 
용하기 때 문이 다. 더 자세한 정 보에 대 하여 서 는 제10장을 참고하시 오. 


Windows 봉사에 리용된 포구 

Microsoft 는 NT 조작체 계 에 고유한 여 러 포구들과 봉사들을 리용한다. SMTP , FTP , 
HTTP 와 같은 봉사에 리 용되 는 포구번호들은 RFC 1700에 문서 화되 여 있지 만 많은 포 
구번호들이 Windows 의 고유한 봉사 즉 WINS 와 원격 사건보기 등을 위 하여 리 용되 고 
있으며 이러한 포구번호들은 RFC 로 문서화되지 않는다. 이것은 Microsoft 봉사를 방화 
벽 또는 파케 트려과기 가 리용되 고 있는 부분망으로 확장하는것 이 매 우 어 렵 다는것 을 
의 미 한다. 

표 14-2 에 공통적 인 Windows 봉사들에서 리용하는 전송규약과 대 응하는 포구번호들 
을 제 시한다. 


표 14-2 공톰적인 Windows 봉사들에서 리용하는 전송규약과 포구번호 


이 름 

전송규약/포구번호 

b 마디 점 찾기 

UDP/137, UDP/138 

p 마디점 WINS 등록 

TCP/139 

p 마디점 WINS 문의 

TCP/139 

WINS 복제 

TCP/42 

가입 

UDP/137, UDP/138, TCP/139 

파일공유접근 

TCP/139 

인쇄기공유접근 

TCP/139 

사건 보기 

TCP/139 

봉사기관리자 

TCP/139 

사용자관려 자 

TCP/139 

성 능감시 기 

TCP/139 

Registry 편 집 기 

TCP/139 


추__°1 

일 부 경 우에 는 표 14-2 에 서 보여 준 포구번 호들이상으로 열 어 놓을 필 요도 있 다는 
것 을 생 각하여 야 한다. 실례 로 사건보기 가 원격 NT 체 계 가 리용하는 IP 주소를 알려 고 
한다고 하자. 국부 LMHOSTS 파일 을 리용하지 않는다면 WINS 가 리용하는 포구번호 
들을 열어 놓을 필요가 있다. 
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표 14-3 에서는 DCOM 을 전제 로 하는 Windows 응용들을 보여 준다. 봉사들은 하나 
또는 여 러 고정포구들을 리용할수도 있 고 등록고변 경 이 문서 화되 지 않는 한 1023 이 상의 
임 의의 포구번호들도 리용할수 있다. 또한 RPC 135 는 TCP 로 변경하지 않는 한 기정 으로 
는 UDP 이 다. 


표 14-3 DCOM 을 전제로 하는 Windows 응용 


이 름 

전송규약/포구번호 

령역 신뢰 

UDP/135, UDP/137, UDP/138, TCP/139 

DHCP 관리자 

UDP/135 

WINS 관리 자 

UDP/135 

통보문대기렬 

UDP/135, TCP &UDP/1801, TCP/2101, TCP/2103, 

TCP/2105 

Exchange 

UDP/135 

Exchange 

UDP/135 


추 __ oj 

방화벽을 통한 의뢰기통신을 지원하기 위하여서는 Exchange 봉사기에서 등록고열쇠 
들을 추가로 변경하여 야 한다. 더 자세한 정 보는 Microsoft 의 지 식문서 Q148732 와 
Q155831 을 참고하기 바란다. 


보충적인 등록고열쇠변경 

Microsoft Web 싸이 트를 검 열하면 보안강화를 위 하여 수정될수 있는 여 러 개의 등록고 
열쇠 들은 찾게 된다. 모든 열쇠 입 구점들은 regedt 32 도구프로그람을 리 용하여 변경 되 여 야 
한다. 이전판인 regedit 에서는 다중부분열쇠의 지원과 같은 regedt 32 의 일부 개선된 기능들 
은 지원하지 않는다. 


죽 __°1 

이 장에서 이미 언급한바와 같이 등록고를 변경할 때 에는 반드시 먼저 비상회복디 
스크를 만들어야 한다._ 


가입기발 

어떤 등록고열쇠 를 수정하여 Windows NT 가입처 리를 Ctrl + Alt+Del 을 눌러서 가입기 
발이 나타나도록 변경할수 있다. 가입기 발은 규정 또는 체계리용방책 을 나타내 는 대 화칸 
이다. 사용자가 체계에 인증되기전에 OK 단추를 찰칵 또는 Enter 건누르기로 실제의 가입 
화면이 나타나도록 하여 야 한다. 
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가입기발을 추가하기 위하여서는 regodt32 를 기동하고 다음의 열쇠를 찾는다. 


HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\Current 
Version \Winlogon 


이 열 쇠 안에 서 두개 의 열 쇠 값 Legalnotice Caption 과 LegalNoticeText 를 찾는다. 수정 을 
위하여 두개 의 값들중 하나를 찰칵한다. 

Legalnotice Caption 값은 대 화칸의 제 목에 나타나는 본문이 다. 

LegalNoticeText 값은 대 화칸에 나타나는 실제 본문이 다. 변경 한 다음 regedt32 를 탈퇴 하 
고 체계를 재기동하여야 한다. 

마지막가입이■의 숨기기 

편리상 Windows NT 는 체계에 국부적으로 가입했던 마지막사용자이름을 보존한다. 
이것은 다른 사람이 Ctrl+Alt+Del 을 눌러서 체계에 인증되려고 시도할 때 그전의 가입이 
름을 리용할수 있는 가능성을 준다. 이러한 문제는 다른 사용자가 합법적인 가입이름으 
로 체계 에 인증될수 있기때 문에 고도의 보안이 요구되는 환경 에서는 불합리하다. 

Windows NT 는 가입시 에 마지 막사용자이 름이 나타나는것을 금지시키기 위하여 다음 
의 등록고열쇠를 제공한다. 

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\Current 

V ersionXWinlogon 

등록고편집 기 차림 표에서 Winlogon 열쇠 를 지 정 하고 Edit—Add Value 를 선택 한다. 

값추가창문에서 REG_SZ 자료형을 가진 DontDisplayLastUserName 이라는 값이름을 추 
가한다. OK 단추를 찰칵하면 문자렬편집창문이 나타난다. 여 기서 문자렬값 1을 입 력한다. 

문자렬값을 입 구한 다음 OK 단추를 찰칵하고 regedt32 도구프로그람을 탈뢰 한다. 변경 
이 유효로 되자면 체계를 재기동하여야 한다. 

Windows NT 워크스테이션에서 등록고보안 

망을 통하여 또는 국부기 계 로부터 Windows NT 체 계 의 등록고를 편집 할수 있 다. 
Windows NT 봉사기 에 대 하여 서 는 원격 등록고접 근은 관리 자준위 구좌로 제 한된 다. 그러 나 
Windows NT 워크스테 이션에 대하여서는 이러한 제한이 없다. 

등록고접근을 NT 워크스테 이션에 대한 관리자로 제한하기 위하여서는 다음의 등록고 
열쇠를 찾는다. 


HKEY_LOCAL_MACHINE\SYSTEM\CurrentcontrolSet\Control\ SecurePipeServes 

먼저 이 대상밑에 Winregs 라는 열쇠를 창조할 필요가 있다. 이를 위하여서는 등록고 
편집 기 차림 표에 서 SecurePipeServers 를 지 정 하고 Edit—Add key 를 선택 한다. 

열쇠를 창조한 다음 그것을 지정 하고 Edit ᅳ Add Value 를 선택 한다. 값추가창문에서 
REG_SZ 자료형을 가진 REG_DWORD 값이름을 추가한다. OK 단추를 찰칵하면 문자렬편집 
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기창문이 나타난다. 문자렬값 1을 입력한 다음 OK 단추를 찰칵하고 regedt 32 도구프로그람 
을 탈퇴한다. 변경 이 유효로 되 자면 워 크스테 이 션을 재 기 동하여 야 한다. 


사건보기에 대한 접근보안 

Windows NT 는 기정으로 손님들과 형식적인 사용자 (null users ) 들이 사건보기체계와 
응용기록정보의 입구점들에 접근할수 있게 되여 있다. 이 정보는 체계의 취약성을 알아 
내려는 공격자에 의해 리용될수 있다. 보안기록정보는 사용자관리자의 기록검열관리설정 
에 의하여 접근이 조종되므로 면제된다. 체계와 응용기록정보가 관리 자준위의 구좌에 의 
하여서만 접근되도록 하자면 다음의 열쇠를 조작하여야 한다. 


HKEY _ LOCAL _ MACHINE \ SYSTEM \ CurrentControlSet \ Services\Eve 

ntLog\Application 

HKEY _ LOCAL _ MACHINE \ SYSTEM \ CurrentControlSet \ Services\Eve 

ntLog\System 


응용열쇠 를 지 정 하고 Edit ᅳ Add Value 를 선택한다. 값추가창문에서 REG_DWORD 
자료형 을 가진 값이 름 RestrictGuestAccess 을 입 력 한다. OK 단추를 찰칵하고 문자렬 편집 기 
창문에서 문자렬값 1을 입 력한다. OK 단추를 찰칵하고 체계열쇠를 지정한 다음 우의 
단계를 반복한다. 

폐지과일의 제거 

페 지 파일 은 Windows NT 가 가상기 억 으로 리용하는 하드디 스크구역 이 다. Windows 
NT 는 기 억관리 를 위하여 비 활동적 인 정 보를 물리기 억 으로부터 폐 지파일 로 이 동함으로써 
더 많은 물리기억이 활동적인 프로그람에 의하여 리용되도록 한다. Windows NT 체계가 
정지될 때 이 정보가 완전히 제거된다는 담보는 없다. 그러므로 체계를 다른 조작체계에 
의하여 기동시킬수 있는 공격자가 이 파일에 보관된 정보를 읽을수 있게 된다. 

페지파일의 내 용이 정지시 에 깨끗이 제거되도록 하기 위 하여서는 다음의 열쇠조작이 
필요하다. 


HKEY _ LOCAL _ MACHINE \ SYSTEM \ CurrentControlSet \ Control\Session Manager\Memory 
Management 

기 억 관 리 열 쇠 를 지 정 하 고 Edit ᅳ Add Value 를 선 택 한 다 . 값 추 가 창 문 에 서 
REG _ DWORD 자료형 을 가진 값이 름 ClearPageFileAtShutdown 을 입 력 한다. OK 단추를 찰칵 
하고 문자렬 편집 기창문에 서 문자렬 값 1을 입 력한다. 문자렬값을 입 구한 다음 OK 단추를 
찰칵하고 regedt 32 를 랄퇴 한다. 


추 __- 

체계는 페지파일을 지우기전에 2번의 재 기동이 요구된다. 
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Windows 2000 

Windows 2000 은 새로운 보안특징들을 포함한다. 

• 현재의 령역구조에 대한 일반적인 보안구조를 개선하기 위하여 설계된 능동등록부 

• 파일체계암호화 

• kerveros version 5 

• 공개열 쇠 증서봉사 

• IPSEC 지원 

• 스마트카드지 원 

능동등록부 

NT 4.0 이 일반적이고 확장불가능한 등록부봉사를 제공한다면 능동등록부는 매우 유 
연하고 계 층적이며 확장가능한 등록부봉사를 제 공한다. 

능동등록부의 기능을 3가지 측면에서 고찰할수 있다. 

보관 능동등록부는 망객체들에 대 한 정보를 계층적 으로 보관한다. 이 정보는 사 
용자，응용，봉사들이 리용할수 있 다. 

구조 모든 망객체 와 봉사들은 능동등록부안에서 대 상으로서 보관된다. 령역，나 
무，수림，신뢰 관계 , 기 관단위，싸이 트와 갈은 구성개 념 들이 포함된 다. 

림주장 능동등록부는 표준등록부접 근규약을 리용하며 다른 등록부봉사 또는 응 
용프로그람들과 통신할수 있다. 

능동등록부의 다른 특징들은 다음과 갈다. 

DNS 릉합 모든 능동등록부봉사들은 DNS 를 리용하여 모든 망봉사들에 요청 하고 
결합하며 련결된다. 

확장성 능동등록부의 구조는 확장가능하다. 이것은 새로운 대상콜라스와 이미 존 
재 하는 클라스의 새 로운 속성 을 관리 자 또는 응용에 의하여 능동등록부에 
추가할수 있 다는것 을 의 미한다. 

대상지향방책 그룹방책이라고도 하는 이 설정들은 사용자들의 자원접근과 이 자 
원이 어 떻게 리 용될수 있는가를 결정한다. 

적도화 능동등록부는 하나이상의 령 역이름들을 리용하며 매 령역 에는 또한 하나 
이 상의 령 역 조종기 가 있 다. 다중령역 들은 하나의 령 역나무도 결 합될 수 있 
으며 다중령역 나무들은 하나의 수림 으로 결 합될수 있 다. 하나의 령 역 을 가 
진 망은 하나의 나무，하나의 수림으로 된다. 

다중관리자복제 모든 령 역조종기 들은 등록부변경 이 다른 령 역조종기 에 의하여 진 
행되고 그 다음차례로 다른 령역조종기들이 갱신된다는 측면에서는 본질 
상 같은 권한을 가진다. 만일 하나의 령역조종기가 오유로 인하여 정지되 
면 다른 령 역 조종기 들이 그 기 능을 인계받는다. 

집중화된 보안 능동등록부는 망에 대한 매 사용자접근을 보증한다. 또한 접근 조 
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종은 등록부의 매 대상에 대하여뿐아니라 그것의 매개 속성에 대해서도 
정의될수 있다. 

호상운영성 경 량급등록부접근규약 ( LDAP ) 은 능동등록부가 응용 또는 다른 등록부 
봉사들과 대상정보를 공유할수 있게 한다. 

과일체계암호화 

NT 4.0 에 서 파일 에 대 한 사용자접 근은 접 근조종목록 ( ACL ) 에 의하여 조종된 다. 그런데 
콤퓨터체계의 물리적인 조종을 잃어 버렸다면 어떻게 되겠는가? 가령 휴대용콤퓨터를 도 
난 당했다면 어떤 일이 생기겠는가? 공격자는 ACL 과 관계 없는 다른 조작체계로 휴대용 
콤퓨터를 기동할수 있으며 필요한 정보들을 읽을것 이 다. 

이러한 문제를 극복하기 위 하여 Microsoft 는 Windows 2000에 파일 체계 암호화 ( EFS ) 를 
통합시 켰 다. EFS 는 Windows 에 서 CryptoAPI 구조의 우점 을 가지 는 공개 열 쇠 암호화에 기 초 
한다. 매 개 파일 은 우연적 으로 발생 된 열 쇠 (파일암호열 쇠 라고 한다.)에 의하여 암호화된 
다. 파일암호화는 대 칭암호화알고리 듬을 리용하지 만 앞으로의 개 정 판에서 는 다른 방법 을 
리 용할것 이 다. 

EFS 는 NT 파일 체 계 ( NTFS ) 와 통합된 다. 림 시 파일 이 창조될 때 모든 파일 이 NTFS 볼륨 
에 있는 한 초기파일의 속성 이 림 시 마당에 복사된다. 초기파일 이 암호화되 면 EFS 는 파일 
창조시 에 속성 의 전 달된 림 시 복사본들도 암호화한다. EFS 는 Windows 2000핵 에 존재 하며 
파일암호열 쇠 는 페 지 화에 의하여 하드디 스크와 교체 되 지 않도록 페 지 화되 지 않는 기 억 공 
간에 보관하고 리용한다. 

EFS 의 다른 특징들은 다음과 같다. 

사용자호상작용 기정 으로는 암호화를 위한 관리 자의 그 어떤 조작도 필요 없다. 암호 
화와 복호화는 파일별로 또는 등록부별로 구체적 으로 조종할수 있다. 

자료회복 W 2 K 는 체계가 하나이상의 회복열쇠를 가지도록 구성되였을 때에만 EFS 를 
허 용한다. 자료회 복은 기 관에 서 해 고된 직 원에 의하여 암호화된 자료가 회 복 
될수 있다는것을 예견하여 야 하는 상업적환경 또는 암호열쇠를 분실한 경우에 
리용된 다. 

지령렬 암호화도구프로그람은 사용자가 지 령렬로 파일과 등록부를 암호화하고 복호 
화할수 있게 한다. 


Keberos Version 5 

W 2 K 이 전에 Microsoft 는 사용자인증을 위 하여 NTLM 규약에 기 초하였 다. W 2 K 에서 시 
작하여 Microsoft 는 MIT 에 의 하여 개 발된 개 방형 공업 표준규약 Kerberos 를 통합하였 다. 
현재 5번째 개정판인 Kerberos 는 NTLM 상의 모든 우점들을 제공한 신중하고 견고한 규 
약이 다. 
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봉사기에 더 효과적인 인증 NTLM 에서 응용봉사기들은 매 의뢰기들을 인증하기 
위하여 령역조종기에 련결하여야 한다. Kerberos 에서는 봉사기들이 의뢰기 
가 가지 고 있는 자격증서를 검 열하여 의뢰기 를 인증한다. 자격증서 는 전체 
대 화기 간에 재 리용할수 있 다. 

호상인증 NTLM 에서는 봉사기들이 의뢰기들의 신분을 확인할수는 있다. 그러나 
의뢰기 가 봉사기를 확인하거 나 봉사기 가 다른 봉사기를 확인할수는 없다. 
Keberos 는 아무것도 가정하지 않는다. 즉 련결되여 있는 대방들은 서로 상 
대방이 주장하는것만을 알수 있다. 

위임인증 Windows 봉사는 의뢰기를 대 신하여 자원에 접근할 때 의뢰기대 리를 담 
당한다. 일부 분산응용들에서 는 전단봉사가 반드시 의 뢰기를 대 신하도록 
설계 되 여 야 한다. Kerberos 규약은 봉사가 련결되 는 의 뢰기들을 대 신할수 
있는 대 리기능을 가진다. 그러 나 NTLM 에는 그러한 기능이 없다. 

단순한 신릐관계 Kerberos 의 우점 의 하나는 Windows 2000령역 들에 대 한 보안권한 
들사이 신뢰 가 쌍방향이며 이동가능하다는것 이 다. 어떤 령역에 대 한 보안 
권한에 의하여 발행된 증서는 나무안의 임의의 령역들에서 접수된다. 

호상운영성 Microsoft 는 인증에 Kerberos 를 리 용한 다른 망에 서 도 W 2 K 가 허 용되 
도륵 한 IETF(Intemet Engineering Task Force ) 에 의 하여 규정 된 Kerberos 표 
준을 따른다. 

공개열쇠증서봉사 

W 2 K 이 전에 암호화는 분해형과 분리형 으로 실행되 였 다. 인터네 트성 장과 보급에 따라 
망체계의 호상운영과 자료대화에서 대방의 인증 그리고 자료대화의 암호화들은 자료처 리 
를 위한 최소한의 표준으로 되였다. 

공개열쇠암호화는 현대 망들에서 아주 중요한 3가지 가능성 을 제 공한다. 

비공개 전자우편，음성，긴급통보문을 포함한 모든 망통신을 암호화 

인 증 대화의 전기간 대화와 관련한 모든 신분을 확인 

부인방지 대화기간 대방들사이 진행된 모든 거래관련정보들을 등록 

고전적 인 암호화는 자료암호화와 복호화에서 리용되며 서 로 공유하여 야 하는 비밀열 
쇠에 기초한다. 

비밀 열쇠의 분실 또는 파괴는 암호화된 자료를 취 약하게 만든다. 한편 공개열쇠체 계 
는 두개의 열쇠를 가진다. 즉 서로 공유하는 공개열쇠와 서로 밀접히 련관되여 유지되는 
비 밀 열쇠이 다. 이 열쇠 들은 공개열쇠 에 의하여 암호화된 자료는 반드시 해 당한 비 밀 열쇠 
에 의하여 해득된다는 의미에서 또는 그 반대의 의미에서 공개열쇠와 비밀열쇠는 서로 
보충관계에 있다. 

실례 로 Bob 가 Alice 에 게 어 떤 사적 인 자료를 보내 려 고 한다면 Bob 는 Alice 의 공개 열 
쇠 를 리용하여 암호화를 한 다음 Alice 에 게 보낸 다. 암호화된 자료를 받은 Alice 는 자기 
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의 비밀열쇠를 리용하여 해득한다. 여기서 중요한 개념은 Alice 가 세계의 임의의 사람이 
자료를 암호화할수 있도록 자기 의 공개열쇠 를 자유로 배 포할수 있 다는것 이 다. 물론 암호 
화된 자료는 Alice 자신만이 해 득할수 있 다. 가령 Bob 와 Chuck 가 둘 다 Alice 의 공개열 쇠 
를 가지 고 있고 Bob 가 Alice 로 보낸 암호화된 통보문을 Chuck 가 가로챘다고 하자. Chuck 
는 그 통보문을 해득할수 없다. 오직 Alice 의 비밀열쇠에 의하여서만 해득이 가능하며 그 
것을 가지고 있는 유일한 사람은 바로 Alice 이 다. 

앞의 실례 가 비공개 라고 한다면 인증과 부인방지 는 어 떠한가? 이를 위하여 서 명의 
개 념을 보자. 서명 이 암호화를 위하여 리용되지만 목적은 자료원본을 증명하는것 이 다. 가 
령 Alice 가 세계 에 자기의 어떤 통보문의 저 자이라는것을 알리 려 고 한다면 Alice 는 통보 
문을 자기의 비밀열쇠를 리용하여 암호화하고 공개적으로 통보문을 배포한다. 이 통보문 
을 해 득하는 한가지 방법 은 Alice 가 자유로 배 포한 공개열쇠 를 리용하는것 이 다. 따라서 
통보문의 저 자가 Alice 임 을 증명 할수 있 다. 

암호화와 서명은 비공개，인증，부인방지를 위하여 함께 리용된다. 이 봉사들을 제공 
하는 기 본구조는 공개열쇠하부구조 (PKI) 로 알려 져 있 다. PKI 는 공개열쇠 의 관리 와 실 행 
을 쉽게 하도록 하는 조작체계와 봉사들을 의미한다. PKI 는 다음의 기능들을 제공한다. 

열쇠관리 PKI 는 열쇠의 발행，검열，취소뿐아니라 열쇠에 첨부된 신뢰준위의 관 
리를 단순하게 한다. 

열쇠출판 PKI 는 사용자들이 공개열쇠 를 배 포하거 나 회 수，또는 공개열쇠 가 유효 
인가，무효인가를 결정할수 있는 단순한 형 식 화를 제 공한다. 

열쇠리용 PKI 는 제 3 자의 응용프로그람이 쉽게 어떤 봉사결합(암호화와 서명)을 
선택하여 실 행할수 있도록 서 로 통합시키 는 기 능을 제 공한다. 

공개열쇠 는 PKI 가 리용하는(비 밀 열쇠 는 항상 개 별적 으로 보관된다.) 대상이 지 만 그것 
은 보통 수자증서 로 묶음화된다. 증서 에 는 공개열쇠 와 열쇠소유자이 름과 갈은 상세한 식 
별정보표를 포함한다. 속성들과 공개열쇠사이의 결합은 증서 가 그것 을 발행한 개체 에 의 
하여 수자적 으로 서명되 기때 문에 존재한다. 즉 증서 에 있는 발행 자의 서명은 증서의 인 
증과 정 확성을 보증한다. 

문제는 처음으로 증서를 발행한 개체의 합법성을 결정하는것이다. 방도는 증서계 
층의 개념에 있다. 어떤 계층에서 매 발행자(증서권한이라고도 한다.)는 비밀열쇠를 가 
지 고 발행한 매 증서 에 서 명한다. CA 의 열 쇠쌍중에 서 하나는 공개하여 그자체 를 증서 
에 묶음화한다. 다른 하나는 더 높은 준위의 CA 에 의하여 발행된다. 이러한 과정은 
가능한 많은 준위 에 걸 쳐 계 속할수 있다. 그러 나 마지 막에 는 최 상위준위 의 CA 가 있 어 
야 한다. 이러한 CA 를 뿌리증서권한이라고 하는데 이것은 자기자체의 증서에 서명한 
다. 명백히 말단사용자는 뿌리증서가 합법적이라는데 대하여서는 그대로 신뢰하여야 
한다. Thawte 와 Verisign 과 같이 잘 알려 진 산업 용 CA 들은 100 만명 의 사용자들에 게 까 
지 증서 를 발행한다. W2K 는 자기 자체 의 PKI 를 포함하는데 이 것은 증서표를 발행하는 
데 리용되 며 또한 증서 들을 관리 하고 리용하는 봉사들도 제 공한다. W2K PKI 의 기 본 
요소들은 다음과 갈다. 
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증서봉사 이 주요 PKI 봉사는 기관이 자기자체의 CA 토서 기관이 수자증서를 발행 
하고 관리할수 있는 가능성 을 가질수 있게 한다. 

능동등록부 등록부봉사로서 능동등록부는 PKI 를 위 한 출판봉사를 봉사한다. 

PKI 가능한 응용들 인터네 트탐색 기， Microsoft 의 Money, 인터네 트정 보봉사기， 
Outlook, Outlook Express 뿐만아니 라 많은 제 3 자의 응용프로그람들이 W2K 
PKI 를 리용할수 있 다. 

Exchange 열쇠관리봉사 Microsoft Exchange 의 요소들은 전자우편을 암호화하고 
서 명 하는데 리 용되 는 열 쇠 를 보존하고 회 수한다. 

Microsoft 는 열린 PKI 표준에 맞추기 위하여 노력하였 다. 일 부 표준들은 표 14-4 에 서 
보여 준다. 


표 14-4 

W2K 가 지원되는 PKI 표준들 

표 준 

무엇을 하는가 

X .509 

수자증서의 형식과 내용을 조종한다. 

CRL ver .2 

증서취소목록의 형식과 내용을 조종한다. 

PKCS 계 렬 

공개 열 쇠 교환과 배 포를 위 한 형 식 화와 동작을 조종한다. 

SSL ver .3 

Web 대 화를 위한 암호화를 제 공한다. 

SGC 

수출복잡성없 이 SSL 과 같은 보안을 제 공한다. 

IPSec 

IP 를 리 용한 망대 화에 대 하여 암호화를 제 공한다. 

PKINIT 

최 근에 만들어 진 표준으로서 공개열쇠 를 리용하여 Keberos 를 사용하 

는 망에 가입한다. 

PC/SC 

호마트카드표준이 다 


IPSec 

NT 4.0 은 견고하면서도 규칙적 인 망자료암호화를 제공하지 않음으로 하여 혼합망 
그리고 대역정보전송이 요구되는 오늘의 환경에서는 치명적인 결점을 가지고 있다. 
W2K 는 자료흐름이 2 개의 기초준위에서 안전하다는것을 담보하는 IP 보안규약 (IPSec) 을 
포함 한다. 

수정 자료는 경로에 있어서 보호된다. 

가로재기 자료는 경로에 있어서 보거나 복사될수 없다. 
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IPSec 는 IP 를 위하여 IETF 가 설계한 열린 표준으로서 망준위의 인증과 자료무결성， 
암호화를 지 원한다. W2K 가 지 원하는 IPSec 가 OSI 모형 의 전송준위 아래 에 서 적 용되 므로 
응용측면의 구성이 필요 없다. 이것은 또한 VPN 을 아주 간단히 실현할수 있게 한다. 
W2K 가 지원하는 추가적 인 IPSec 봉사는 다음의 기능들을 포함한다. 

자료무결성 IP 인증머 리 부는 통신과정 에 자료무결성 을 담보한다. 

동적인 열쇠변경 하나의 대화주기동안에 임의의 시간간격으로 열쇠를 변경시키는 
것은 공격으로부터의 체 계보호를 훨씬 개선한다. 

집중화된 관리 W2K 관리 자는 사용자，작업그룹 또는 다른 규정 에 기 초하여 구체 
적 인 보안을 정 의할수 있게 보안방책 과 려 과기 능을 설정할수 있 다. 

유연성 IPSec 는 단일워 크스테 이션，사용자， 그룹 또는 기 업범위자료통신에 적 용될 
수 있다. 

IPSec 는 인증머 리 부 (AH) 와 교갑화된 보안자료 (ESP) 를 리용하여 비 공개，인증，부인방 
지를 제공한다. AH 는 원본인증과 무결성을 제공하고 ESP 는 인증과 무결성에 따라서 비 
밀성을 제공한다. IPSec 에서는 송신자와 수납자만이 보안열쇠를 알고 있다. 만일 인증자 
료가 유효이면 수신자는 자료가 의도한 송신자로부터 보내졌으며 변경되지 않았다는것을 
알게 된다. 

Microsoft 는 IPSec 의 실행 에서 다음의 공업 규격기 술들을 포함하였 다. 

Diffie-Hellman 열 쇠공유를 위한 최 초의 방법 인 Diffie-Hellman 은 공개정 보를 교 
환하는데 2 개의 관계 인자를 리용한다. 매 개체는 자기의 비밀정 보에 따라 
서 다른 개체의 공개정보를 결합하여 서로 공유하는 어떤 비밀값을 발생 
한다. 

하쉬통보문인증쿄드 ( HMAC ) 자료무결 성 을 증명 하기 위하여 리용되 는 HMAC 
는 매 파케트에 대하여 수자증서를 만든다. 만일 파케트내용이 변경되 
면 모순되는 결과가 암호화된 수자증서로부터 계산되며 파케트는 폐기 
된 다. 

자료암호화표준 ( DES ) 비 밀 성 을 강화하기 위하여 리 용되 는 DES 는 암호블로크사 
슬 (CDC) 이 라는 비 밀 열쇠알고리 듬을 리용하여 자료암호화에 리용되 는 비 밀 
열쇠인 우연수를 만든다. 

W2K 의 IPSec 를 지원하는 다른 보안규약들은 다음과 같다. 

인테 dl 트보안련합과 열쇠관리규약 ( ISAKMP ) 이 규약들은 보안련합 (SA) 의 제정을 
지 원 하는 기 본구조를 정 의한다. SA 는 두 콤퓨터사이 보안통신을 위한 절 
차(열쇠 와 같은)들을 정 의 하는 파라메 터 들의 모임 이 다. 
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무료접근열쇠결정 무료접 근은 PFS(Perfect Forward Secrecy) 를 리 용하여 만일 열 쇠 
암호가 파괴 되 면 그 열쇠 에 의하여 직 접 암호화된 자료만이 손상될수 있 
다는것 을 담보한다. 어떤 열쇠는 다른 추가열쇠 를 계산하기 위하여 절대 로 
재 리용할수 없으며 열쇠생성 에 리 용된 초기자료도 다른 열쇠계산에 절대 
로 리용할수 없 다. 

IPSec 가 W2K 안에 통합되 여 있기때 문에 능동등록부，그룹방책，증서봉사를 포함한 
W2K 의 PKI 봉사우점들을 가질수 있다. 이것 은 W2K 에 강한 보안우점 을 제 공한다. 즉 보 
안봉사의 집중관리가 가능하다. 

스마트카드 

NT4.0 의 사용자인증방법 은 다른 제 3 자의 제 품을 설 치하지 않는 한 통과암호로 제 한 
된 다. 통과암호는 관리 상 측면과 사용자측면(사용자에 의한 설정기 능이 미 약하며 다른 사 
탐에 의하여 쉽 게 추측될 수 있 다는것，고급한 통과암호를 사용하자면 매 우 불편 하다는것 
등)에서 수많은 문제들이 제 기된다. 총체적 으로 보안연구는 개체식 별을 더 안전하면서 도 
쉽 게 관리할수 있는 방법 을 개 발하는데 로 나가고 있다. 비 용과 기 능사이 균형 이 보장되 
면서 제 일 대중화된 방법들중의 하나가 스마트카드이 다. 

스마트카드는 증서，비밀열쇠，기타 개인정보들이 기억된 집적회로를 리용하는 신용 
카드크기 만 한 장치 이 다. 스마트카드는 스마트카드읽기장치를 가진 콤퓨터체계 에 접근하 
는데 리용한다. 대체 로 사용자는 자기의 스마트카드를 읽 기장치 에 대든지 또는 읽 기장치 
로 통과시킨다. 그때 개인식별번호 ( Pm ) 와 같은 고유한 개인정보들이 입력된다. 이것은 
ATM 카드와 류사하다. 그러 나 스마트카드에 서 는 자기레 프우에 평문형태 로 정 보를 보관하 
지 않고 집적회로에 암호문형태로 보관한다. 

스마트카드는 의뢰기 인증，가입，안전한 전자우편과 같이 쏘프트웨어 적 으로만 해결할 
수 있는 보안기능을 강화하는데서 매우 효과적이다. 스마트카드는 다음의 특징으로 하여 
여 러 PKI 쎈터 들에 실지 로 존재한다. 

• 개인 정보와 함께 비밀열쇠를 보호하는 견고한 기억기를 제공한다. 

• 개 인정 보와 함께 비 밀열쇠 를 보안연산들(인증，수자서 명，열쇠교환)을 알 필 
요가 없는 체계의 다른 부분과 격리시킨다. 

• 임의의 위치(직장，가정，도로상에서)에서 콤퓨터들사이 증서와 개인정보를 
교환할수 있는 가능성을 제공한다. 

전통적 인 스마트카드는 비 표준화로 해서 사용이 제 한된다. 국제 규격 화기 구 (ISO) 는 스 
마트카드개 발을 규격 화하기 위한 시 도로서 IS07816 을 개 발하였 다. 1996 년 에 Europay, 
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MasterCard, VISA(EMV) 가 ISO 규격을 채 용하면서 금융봉사업 을 지 원하도록 한가지 기 능 
을 추가한 규정 을 제 정하였 다. 

유럽원격 통신공업 이 IS07816 에 대 한 자기 자체 의 변경 을 만들기 위하여 표준처 리 를 
분리 시 킴 으로써 대 역이동통신체 계 (GSM) 규정 이 휴대 용전화사용자들의 식 별과 인증을 가 
능하게 하였 다. 

이 규정 에 는 콤퓨터공업 의 요구에 맞는것 이 하나도 없 다. 그리하여 1997 년 에 
PS/SC (개 인콤퓨터/스마트카드)그룹 (Microsoft 를 포함하여 여 러 주도적 기 업 들로 형성되 
였다.)은 PC/SC 규정 을 내 놓았다. 또한 이 규격 들은 IS07816 에 기 초하며 정 보체 계 와 
직 접 관련된 문제 들도 포함한다. Microsoft 는 다음의 기 술들을 리용하여 이 규격 들을 
실현 한다. 

CryptoAPI 이 요소는 스마트카드봉사제공자 (scsp) 가 암호화를 모르고서도 W2K 
안에 통합된 암호화특성의 우점을 리용할수 있게 한다. 

Scard COM 비 암호대 면부인 Scard COM 은 응용프로그람들이 일 반스마트카드봉 
사에 접근할수 있게 한다. 

W2K 와의 통합으로 하여 스마트카드는 기 관의 PKI 에 대 한 기 본협 력 자로서 리용되 며 
동시 에 높은 수준의 관리와 함께 위험을 방지할수 있게 한다. 

요 약 

이 장에 서 는 NT 봉사기 환경 에 서 의 보안을 어 떻 게 실 현 하는가에 대 하여 설 명 하였 다. 
또한 사용자구좌관리，파일 허 가설 정 에 대 하여 서 도 고찰하였 다. 또한 보안림시 보수프로그 
람설 치 의 중요성 에 대 해 서 도 설명 하였 다. 다음에 강력 하고 집 중적 인 망보안관리 하부구조 
를 제 공하는 Windows 2000 의 새 로운 기 술들에 대 하여 고찰하였다. 

다음장에서는 UNIX 체계의 보안을 어떻게 실현하는가에 대 하여 설명한다. 많은 환경 
들에 서 여 전히 특수용도의 응용프로그람을 위하여 UNIX 를 사용하므로 UNIX 조작체 계 는 
많은 망환경들에서 전략상 중요한 요소로 되 여 있다. 
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제 1 5 장 . UNIX 


UNIX 가 동작하는 체계의 안전을 위하여서는 조작체계의 동작을 완전히 파악하여야 
한다. 대부분의 UNIX 체계들은 GUI 류형에 따르지만 일반적으로 Windows 조작체계와 같이 
기 능들을 대 충 적 당히 파악하고 리용할수는 없 다. 그렇 다고 하여 수많은 기 능들을 도움 
말을 일일이 조사하여 그것이 언제 리용되는가를 파악할수도 없다. UNIX 에서는 일부도 
구프로그람들이 X-Windows 에서 조작하지 만 지 령렬로부터 거의 모든 조작을 할수 있게 
되 여 있다. 그러 므로 조작체 계 에 정 통하지 못한 사람들이 UNIX 체 계 를 보안한다는것 은 
매우 힘들다. 

UNIX 를 배우게 되면 세계적으로 귀중한 자료대부분을 조종하는 공인된 체계들을 관 
리할수 있는 능력 을 소유할수 있다. UNIX 가 PC 관련 등 일부 분야에서 는 시 장을 잃 었지 
만 특수용도의 응용프로그람들을 지원하는데서는 여전히 주역을 담당하고 있다. UNIX 는 
또한 매 우 안전한 응용봉사기 를 지 원하는 능력 도 가지 고 있다. 실례 로 IIS 가 동작하는 
NT 봉사기 는 RPC(135) 와 모든 NetBIOS 포구 (137-139) 들이 열 려 져 있을것 을 요구하므로 
취 약성 을 내포하게 되지만 Apache 가 동작하는 UNIX 체 계 는 봉사를 위 하여 요구되는 포 
구 (Web 봉사에 서 는 포구 80) 들만을 열 어 놓을것 을 요구한다. 열린 포구수를 줄이 는것 은 공 
격 자들이 체계 에 대 한 취 약성탐색의 가능성을 줄일수 있게 하므로 체 계의 보안성을 높일 
수 있게 한다. 

UNIX 력사 

1969 년 에 벨연구소에 서 개 발한 UNIX 는 현재 까지 리용되 는 가장 오랜 분산형 망조작 
체계이다. UNIX 는 통프손 (Ken Thompson) 의 공로라고 말할수 있다. 그 당시 그는 벨연구 
소에서 대 형 를퓨터 에서 의 다중정 보계 산체 계 (MULTICS) 를 개 발하고 있었 다. 그런데 벨 연 
구소는 어 떤 원 인으로 해 서 이 프로젝 트를 중지 하고 공간려행 (Space Travel) 이 라는 새 로 
운 유희프로그람개 발에 착수하였 다. 

그때 통프손은 유희프로그람이 동작할수 있는 새 로운 조작체 계 개 발을 시 작하였 다. 
MULTICS 아쌤 블러 코드가 DEC PDP-7 을 위 하여 다시 작성 되 였고 이 조작체 계 를 UNICS 
라고 이름 지었다. 

유희프로그람 Space Travel 의 범위 를 넘 어서 기 능들이 보강되 였으며 일부 상업 적 인 측 
면으로 확장할수 있는 UNICS 조작체계 에 드디 여 벨연구소가 관심을 돌리 기 시 작하였다. 그 
후 1972 년 에 는 UNIX 라는 이 름으로 첫 제 품 이 개 발되 였 다. 그때 의 설 치 기 준은 W 대 였 다. 
1973 년에 통프손과 덴니 리 츠히 (Dennis Ritchie) 는 조작체 계의 이 식가능성 을 훨씬 더 높일수 
있도록 핵 심 부를 C 언 어 로 다시 작성하였 다. 

1974 년에 IP 규약이 개 발되 였고 UNIX 조작체 계 에 통합되 였 다. 이때 부터 여 러개의 말 
단들이 하나의 단일한 UNIX 체 계 에 접 근할 필요가 더 이상 존재하지 않았으며 이써네 트라 
는 공유매체가 체계접근에 리용되였다. 이로서 UNIX 조작체계는 비로소 실제의 망조작체 
계로 되였다. 
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1970 년대 중엽 에 벨연구소는 UNIX 를 종합대 학들에 공개 하기 시 작하였 다. 그시 기 
UNIX 를 벨전화회사가 여전히 조종하고 있었으므로 UNIX 의 상업적관매에 의한 리득은 
허 용되 지 않았다. 이 런 리유로 하여 UNIX 원천코드의 료금은 최 소로 지 불되 였 으며 결 과 
급속히 퍼지기 시작하였다. 

UNIX 가 종합대학들에 배포되면서부터 그 개발이 급속히 촉진되였다. 대학생들이 코 
드를 개 량하고 새 로운 기 능들을 추가하기 시 작하였 다. 그중에 서 도 캘 리 포니 아종합대 학에 
서 UNIX 를 개 량하여 버 클리 쏘프트웨 어배 포 (BSD) 로 배 포하기 시 작한것 은 아주 주목할 
만한것 이 다. 여 러 가지 형 태의 UNIX 조작체 계 들이 출현하였으므로 벨연구소에 의하여 개 
발이 계속되 고 있는 UNIX 판본을 체 계 5(system V) 라고 하였다. 

UNIX 조작체계는 기능이 풍부하고 다양한 를래트홈들을 지원하는것으로 하여 1980 년 
대초에 많은 갱 신판들이 급격히 출현하였다. AT&T 는 그 시기 자기의 사용권방책으로부 
터 이러한 변화에 공헌하였다고 볼수 있다. AT&T 는 UNIX 를 발전시킴에 있어서 이름은 
그대로 보존하여 다른 배포자가 UNIX 갱신판을 자체로 이름을 달수 있게 하였다. 실례로 
서 는 Solaris(Sun) 와 HP-UX(Hewlett-Packard) 를 들수 있다. Microsoft 도 UNIX 를 개 정하여 
XENIX 로 발표하였다. 

1987 년에 AT&T 는 싼마이 크로시 스템 과 Microsoft 와 함께 UNIX 의 주요개 정판들을 하 
나의 단일 배 포판으로 결 합시키 는데 합의 하였 다. SYR4(System V Release 4) 라는 이 갱 신 
판은 XENIX, BSD, System Y Release 3 의 가장 좋은 특징들을 결합하였다. 이 갱 신판이 
1990 년대에 UNIX 의 사실상의 표준으로 되였다. 1993 년에 6 개의 다른 제작자들인 
Hewlett-Packard, SCO(The Santa Cruz Operation), SunSoft, Univel, UNIX 체 계 연구소들 이 공 
동으로 COSE(Common Open Software Environment) 라는 규격 을 만들었 다. 같은 해 에 
AT&T 는 UNIX 를 Novell 에 판매 하였 고 Novell 이 1995 년 에 다시 그것 을 SCO 에 판매 하였 
다. UNIX 를 규격화하려는 노력이 여러번 반복되였음에도 불구하고 UNIX 는 갱신에서 여 
전히《분산성》을 띠 고 있다. 그러 나 UNIX 는 여전히 가치 가 있는 조작체계 이 다. 

FreeBSD 

FreeBSD 는 1990 년대초에 Novell 과 U.C.Berkeley 를 복잡하게 했던 격 렬 한 법 률상전쟁 
으로부터 출현 하였 다. 초기 에 BSD 의 B86 갱 신판을 위한 수정프로그람으로서 개 발되 였 고 
그 다음 Novell 과 U.C.Berkeley 사이의 소송이 해결된후 남아 있는 UNIX 의 4.4BSD_Lite2 갱 
신판을 약간 갱 신하여 다시 만들어 졌 다. FreeBSD 은 조종가능한 개 발모형 을 리 용함으로 
써 특별히 안전하면서도 자유로운 조작체계를 만들었다. 

그러 면 원천코드와 가격 에 관하여 다같이 열린 모형 을 채 용한 FreeBSD 와 Linux 는 
어떻게 차이나는가? 초기 개발자에 대하여 본다면 FreeBSD 는 리누스 토발즈 (Linns 
Torvalds) 에 의 하여 조종되는 Linux 와 같이 어떤 한 사람에게 의존하지 않는다. 그리고 
FreeBSD 는 UNIX 의 이 전 판본들과 BSD 로부터 많은 기 술들을 계 승하였기 때 문에 비 록 
Linux 가 급속히 갱 신되 고 있지만 FreeBSD 의 망기능은 더 견고하고 성능도 높다. 다음으 
로 Linux 가 UNIX 의 다른 기 본계 렬 인 SVR4 로부터 갱 신되 였 으므로 파일 체 계 설 계，기 동처 
리，실 행표준의 측면 에 서 서 로 다르다. 


454 



다음문제는 사용권문제이다 . Linux 는 GNU CopyLeft 사용권에 의존하지만(그것은 
Linux 개 발에 서 투자의 우점 을 크게 제 한한다 . ) FreeBSD 는 더 많은 상업 적투자를 허 용하 
는 자체의 사용권을 가지고 있다 . 

끝으로 FreeBSD 는 Linux (또는 심지어 UNIX 의 주류갱신관)우에서 기동시킬수 있다 . 
한가지 부족점 은 장치 지원에 서 Linux 와 같이 포괄적 이 못된 다는것 이 다 . 다시 말하여 비 
데오기판과 같은 일부 장치들을 지원하지 못한다 . 그러 나 FreeBSD 는 최 신 판본과 협조 
하여 쉽 게 갱 신하고 유지할수 있다 . 일 부 기 관 (Yahoo! 등)들은 차이 점 보다도 류사성 이 
훨씬 더 많다는 우점 을 고려하여 두 체계 를 동시 에 설 치하여 사용할것 을 결정 하고 있다 . 

Linux 

Microsoft 에 대항하여 Linux 가 만들어 졌다는 이 야기가 있 다 . 그러 나 사실은 아주 단 
순하다 . 옛말을 인용한다면《불만족은 발명의 어머니 이다.》라고들 한다 . 

1991 년에 필 란드 헬싱 키종합대 학 학생이 였던 리누스 토발즈는 Intel 386 처 리 기우에서 
동작하는 조작체 계 를 선택하는 문제 로 고심 하고 있 었 다 . DOS 는 쓰고 싶지 않았고 UNIX 
는 구입하기 어려웠으므로 그는 Minix 라는 그리 크지 않은 PC 에 기초하여 자체의 UNIX 
모방기 를 만들기 로 결 심하였 다 . 그때 리 누스는 완전 히 열린 개 발형 식 을 취 하여 OS 그자 
체 가 발전해 나가야 한다고 생 각하였 다 . 그리하여 인 터네 트상에 원천코드를 공개 하고 방 
조자들에 게 앞으로 자기 의 OS 개 발을 도와줄것 을 부탁하였 다 . 

이때 Linux 가 즉시에 자기의 새로운 《 OS 생활》을 시작할수 있는 두가지 가능성 이 
있었다 . 그것은 누구나 최신 판본과 이전 판본을 내리적재할수 있는 헬싱키종합대학의 
FTP 싸이트와 장치구동기，콤파일러，코드서고들을 추가하는 경험이 풍부한 많은 방조 
자들이였다 . 

Linux 는 초기 부터 누구나 다 상대 적 으로 완성 된 조작체 계 (초기 에 는 완전한 특성표도 
없 이 하나로 되 여 있음에 도 불구하고)를 내 리적재할수 있도록 완전히 결 합된 환경 에서 
개 발되 였 다 . 

시 간이 지 남에 따라 많은 방조자들의 노력 에 의하여 Linux 에 는 망조작체 계 (NOS ) 가 
성 공하기 위하여 요구되 는 다중과제 , 기 억관리 특히 망기 능과 같은 모든 기 능들이 추가 
되 였다 . 물론 토발즈에 의하여 핵심부의 중요변경사항이 조정되지만 쏘프트웨 어 에 대 한 
열린 방법은 상업적 인 리 익을 고려하는 쏘프트웨 어분야(비록 Linux 가 기술적으로 구입 비 
용 또는 허 가비 용에 서 자유라는 사실은 받아 들이지 만)에 서 일부 문제 들을 발로시 킨다 . 
그러나 이러한 문제들은 단순히 전통적인 조작체계들에서 상업적인 문제들을 조정하는 
단일 기 관이 없기 때 문에 발생하는 문제 들이 다 . 

Linux 가 UNIX 와 같이 《분산성》으로 하여 손해를 보고 있음에도 불구하고 지 난 몇 
년동안에 많은 회 사들이 DNS, DHCP, HTTP 와 같은 주위 의 망봉사와는 다른 상업 응용프 
로그람의 핵 심부로 Linux 를 경쟁적으로 채용하고 있다 . 방대한 하드웨 어와 플래 트홈지원 
과 결합된 Linux 는 현저한 상업 적 지원을 획득하였다 . 실례 로 IBM(IBM 은 Compaq, Dell 과 
함께 자기 의 주요봉사기 제품들에 Linux 를 미 리 설 치하여 제 공한다.)과 Linux 플래 트홈에 
자기 의 제 품을 탑재하려 고 하는 주요응용프로그람제 작자 (Oracle, Informix 를 포함)들은 
Linux 에 11 억 5000 만딸라를 투자하였다 . 


455 



UNIX 파일체계 

대부분의 UNIX 조작체계는 파일이름이 254 문자까지 허용하는 PO:SIX 에 따른 파일체 
계 이 다. 이 름달기 규칙 은 매 우 구체 화되 여 있 다. 그러 므로 Myfile.txt 와 myfile.txt 는 서 로 다 
른 파일 로 된 다. POSIX 는 파일 분할을 감소시키 는 고성 능파일 체 계 이 다. 

UNIX 는 디 스크가 추가될 때 구동기 문자대 신에 설 치 점 (mount points) 을 리 용한다. 
설치점은 단순히 새로운 디스크의 보관고가 추가되는 등록부구조상의 한개 위치를 나 
타내는 점이다. 이것은 유연한 파일구조기능을 제공함으로써 정보를 쉽게 통합할수 있 
게 한다. 

실례로 UNIX 기계를 설치한 다음 2 개의 물리적인 하드구동기를 리용한다고 하자. 일 
반적 으로 첫 구동기 는 조작체 계 를 위하여 전용으로 리용되 고 두번째 구동기 는 사용자를 
위한 홈등록부로 리 용된 다. 

OS 를 C 에 설치하고 사용자홈등록부를 D 에 놓을 대신에 단순히 /home 등록부밑에 
모든 파일의 보관을 위한 두번째 구동기를 할당한다. 여 기 에는 홈등록부밑 에 위 치 한 
파일들을 제외하고 1차구동기에 있는 모든 파일들이 보관된다. 

이러한 파일체계에는 몇가지 우점이 있다. 첫째로，림시구동기의 추가가 투명하다는 
것 이 다. 만일 위 치를 알지 못하는 파일을 찾는다면 단순히 뿌리 로 가서 단일한 하나의 
람색 을 수행하면 된 다. 매 추가구동기 들에 대 하여 탐색 을 반복할 필 요는 없 다. 왜 냐하면 
모든 파일들이 등록부구조의 체계로 구성되여 있기때문이다. 

설치점의 리용은 또한 갑자기 정지된 구동기로 인한 체계측 결함을 줄일수 있게 한 
다. 실례로 두번째 디스크가 잘못되였다면 전체 체계가 아니라 사용자홈등록부들만 잃어 
버 린다. 이것은 두개의 디스크상에 전체 기록권구조를 련결한 NetWare 와는 대조적 이 다. 
NetWare 에서는 구동기들중 하나가 잘못되면 기록권우에 있는 모든 파일들은 모두 접근 
할수 없게 된다. 

UID 와 GID 에 대한 리해 

UNIX 에서는 파일들이 자기의 사용자 또는 그룹과 정확히 결합되 여 허 가되도록 하기 
위하여 두개 의 번 호를 리용한다. 사용자식 별 자 (UID) 는 가입등록이 름을 식 별 하는 유일한 
번호이다. 그룹식별자 (GID) 는 사용자가 소속되여 있는 그룹들을 유일하게 식별하는데 리 
용된다. UNIX 체계에서는 파일이 체계에 보관될 때 사용자의 UID 와 GID 를 파일과 함께 
보관한다. 가령 사용자의 UID 가 5()1 이라면 이 정보는 사용자가 창조한 모든 파일들에 등 
록되여 파일접근시에 소유자를 식별하는데 리용된다. 

UID 와 GID 정 보를 보관하기 위하여 두개 의 파일 이 리 용된 다. 

passw 아 d 매 사용자의 UID 와 1 차그룹의 GID 를 식별한다. 

group 매 그롭의 GID 와 함께 사용자의 2 차그룹의 GID 를 식별한다. 

이 장의 뒤부분에서 통과암호파일과 그롭파일을 상세히 설명한다. 여기서는 매 사용 
자는 UID 에 의하여，매 그룹은 GID 에 의하여 식 별된다는것 만을 리해하자. 
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과일허가 


UNIX 에 하나의 주되 는 보안부족점 이 있다면 그것은 파일허 가설정 이 다. UNIX 에서는 
3가지 클라스 즉 소유자，그룹，모든 사용자에 대 하여 파일 허 가를 설 정할수 있 다. UNIX 
에서는 사용자가 파일에 접근할 때 또는 사용자가 속한 그룹에 있는 다른 사용자가 파일 
에 접근할 때, 체계의 그밖의 다른 사용자들이 파일에 접근할 때 허가를 서로 다르게 설 
정 할수 있 다. 허 가설 정 은 읽 기，쓰기，실 행 으로 제 한된 다. UNIX 는 변 경，수정，삭제 와 같 
은 더 세부적 인 허 가설정들은 지원하지 않는다. 

실례로 독자가 홈등록부에 serverpasswords . txt 라는 파일을 가지고 있다고 하자(실제 
이 런 경 우는 존재하지 않지 만 설명 을 위하여 가정한다.). 또한 록자가 admin 이 라는 그룹 
에 속했 다고 하자. 독자는 자신이 이 파일 에 읽 기，쓰기할수 있게， admin 그룹의 성 원들에 
대 하여서는 읽기접근만이 가능하게，체계의 그밖의 사람들에 대 하여서는 접근이 불가능하 
게 파일 허 가를 설 정할수 있 다. 

이 설정에서는 몇가지 문제점들이 있다. 우선 첫째는《그밖의 사람들》은 접근이 
불가능하다고 하였지만 그들은 독자가 전체 등록부에 대 한 읽기허 가를 제거하지 않는 한 
여전히 그 파일이 있다는것은 볼수 있게 된다. 그들이 serverpasswords . txt 파일이 거기에 
있다는것 을 아는 이상 어떤 단계 를 거 처서 그 파일에 접근하려 고 노력할것 이 다. 등록부에 
대 한 모든 접 근제 거 가 일 부 경 우에 는 접 수할수 있지 만 독자가 공유된 파일 령역 들과 작업 
하고 있는 그러한 환경 에서 는 불가능하다. 

다른 문제는 허가가 너무 일반적 이라는것이다. 실례로 admin 그룹에 있는 Sean 과 Deb 
성원들에 대하여서는 이 파일에 대한 읽기와 쓰기 접근을 허용하지만 admin 그롭의 기타 
다른 성원들에게는 읽기접근만을 허용하게 허가설정을 할수는 없다. UNIX 는 복잡한 파 
일접근이 요구되지 않았던 시기에 나왔다. 그때에는 실지 몇년동안은 체계접근을 더 어 
렵 게 가 아니 라 더 쉽 게 하는데 기 본을 두고 갱 신이 진행되 여 왔다. 

W __ °i 

뿌리라는 관리자구좌는 항상 모든 체계파일에 대한 완전한 접근을 가진다. 이러한 
속성은 제거될수 없다._ 


파일허가보기 

등록부파일 목록은 ls ( list ) 지 령 을 리용하여 볼수 있 다. 이 때 - l ( long ) 스위 치 를 리 용하면 
파일 허 가정 보가 현시 된다. - a 知 11) 스위 치 를 리용하면 숨은 파일도 볼수 있 다. Is 지 령 의 출 
력실례는 다음과 같다. 


[granite:~]$ Is -al 


drwx - 

drwxr - xr-x 



3 cbrenton 

user 

512 

Aug 

25 

18:15 . 


5400 root 

wheel 

95744 

Aug 

28 

17:01 .. 


1 cbrenton 

user 

0 

Oct 

31 

1997 

.addressbook 

1 cbrenton 

user 

1088 

May 

6 

1997 

.cshrc 

1 cbrenton 

user 

258 

May 

6 

1997 

.login 

1 cbrenton 

user 

176 

May 

6 

1997 

.mailrc 
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25 

18:15 

.pine - debug 1 

25 

16:30 

.pine - debug2 

25 

15:08 

.pine_debug3 

25 

14:49 

.pine - debug4 

25 

18:15 

.pinerc 

6 

1997 

.profile 

6 

1997 

.profile, locale 

6 

1997 

.shellrc 

13 

14:33 

dead. Letter 

25 

16:29 

mail 


1 cbrenton 

user 

7881 

1 cbrenton 

user 

8410 

1 cbrenton 

user 

7942 

1 cbrenton 

user 

8605 

l cbrenton 

user 

11796 

1 cbrenton 

user 

1824 

1 cbrenton 

user 

52 

1 cbrenton 

user 

749 

1 cbrenton 

user 

2035 

2 cbrenton 

user 

512 


! 은 허가정보이 다. 이 출력은 입구점의 류형과 입구점에 배 당한 허가를 나타 
자들로 이 루어 진다. 횡선 (-) 으로 시 작한 입구점은 규칙 적 인 파일 이 라는것 을 
15-1 에 유효한 첫 번째 문자들과 그것 에 따르는 입 구점 의 류형 을 설 명한다. 


표 15-1 

UNIX 파일류형 

y 구점의 첫 문자 

설 명 

- 

파일 

D 

등록부입구점 

L 

원격 등록부에 있는 파일 에 대 한 기 호적련결 

B 

레 프장치 와 갈은 주변장치 접 근에 리 용되 는 블로크장치 

C 

말단과 같은 주변장치접 근에 리 용되 는 문자장치 


>개문자는 3 개문자씩 3 개의 부분으로 나누어 진다. 첫 부분은 파일소유자에 
가를 나타낸다. 우의 등록부목록실례 에서는 모든 파일들이 사용자 cbrenton 
.유된다. 두번째 부분은 파일소유자그룹에 배당된 허가를 나타낸다. 우의 실 
aiton 은 그룹 user 에 소속되 여 있 다. 그러므로 두번째 부분의 허 가는 이 그룹 
마지막 세번째 부분은 체계에 대한 유효가입구좌를 가진 그밖의 모든 사용 
호되는 허 가를 나타낸다. 표 15-2 에 가능한 허 가를 보여 준다. 


§§§§§lyiyiy § 
AUAUAUAUAUMaMaMa Jul AU 


15-2 


UNIX 허가설정 











실례 로 출력실례 에서 파일 .login 은 다음과 같이 해 석된다. 

• (_) 이 파일 은 규칙 적 인 파일 이다. 

• 於파일소유자는 이 파일을 읽을수 있다. 

• ( w ) 파일소유자는 이 파일에 쓸수 있다. 

• (x) 파일소유자는 이 파일을 실행시킬수 없다. 

• ( r ) 소유자의 그롭은 이 파일을 읽을수 있다. 

• ( w ) 소유자의 그롭은 이 파일에 쓸수 없다. 

• (x) 소유자의 그룹은 이 파일에 쓸수 없다. 

• ( r ) 그밖의 모든 사람들이 이 파일을 읽을수 있다. 

• ( w ) 그밖의 모든 사람들이 이 파일에 쓸수 없다. 

• (x) 그밖의 모든 사람들이 이 파일을 실행시킬수 없다. 

다음으로 등록부목록실례에서 등록부 mail 에 대한 입구점을 보자. 소유자 cbrenton 은 
이 등록부에 대 한 읽 기，쓰기，탐색허 가를 가진다. 그룹 user 를 포함하여 그밖의 모두는 
이 등록부에 대한 아무런 허가도 가지지 못한다. 그러므로 이 등록부에 대한 접근을 시 
도하면《 허 가금지》오유가 귀 환된 다. 


파일허가변경 

chmod 도구프로그람은 파일 또는 등록부에 배당된 허가를 변경시키는데 리용된다. 각 
이 한 형 태 들이 있지 만 대 부분 사용자들은 리용하기 제 일 쉬 운 수자체 계 를 많이 쓴다. 수 
자체계 는 읽 기，쓰기，실행허 가에 옹근수값을 배 당한다. 배 당한 값들은 다음과 갈다. 

• r ( read ):4 

• w ( write ):2 

• x ( execute ): 1 

• No permissions :。 

수값들을 조합하여 특정 준위 의 접 근을 만들수 있 다. 실례 로 수값 6은 읽 기，쓰기허 가 
를 나타낸다. 수값 5는 읽기와 실행허가를 나타낸다. 

chmod 를 리용할 때 허 가는 3자리 수자를 리용하여 설 정한다. 첫 번째 수자는 소유자의 
허 가준위를，두번째 수자는 그룹의 허 가준위 를，세번째 수자는 체계의 그밖의 사용자들에 
대 한 허 가준위 를 나타낸 다. 실 례 로 지 령 

chmod 640 resume.txt 

를 실 행하면 다음의 허 가준위 가 설정 된다. 

• resume . txt 소유자는 읽 기，쓰기접 근이 가능 (6) 

• 소유자의 그룹은 읽 기접근만이 가능 (4) 

• 그밖의 체계사용자들은 접근이 불가능 (0) 

다중사용자조작체 계 에서는 사용자들이 자기의 과제를 수행할수 있게 하면서도 가능 
한 접근허가를 제 한하여 야 한다. 대부분의 UNIX 조작체계는 기정 으로 아주 일반적 인 허 
가준위 를 설정 하고 있 으므로 사용자접 근을 허 용하기전에 파일 체 계 를 조사하고 제 한을 엄 
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격 히 설정 하여 야 한다. 그런데 사용자들은 많은 체 계 파일 들에 대 하여 적 어도 읽기 접 근만 
은 반드시 요구한다. 그러므로 사용자들이 체계를 조사하여 더 높은 접근준위를 가질수 
있는 취 약성 이 드러날 가능성 이 있다. 

파일소유권과 그룹변경 

접 근조종을 유지 하는 다른 2개 의 도구프로그람으로서 chown 과 chgrp 가 있 다. chown 
지령을 리용하여 파일의 소유권을 변경시킬수 있다. 이 지령은 파일과 등록부를 이동시 
키거 나 창조할 때 리용할수 있다. 이 지 령의 문법 은 다음과 같다. 


chown 〈 switches〉<new owner > <file or directory name > 

제일 유용한 스위치는 소속관계를 등록부구조에서 재귀적으로 변경시킬수 있게 하는 
- R 스위치이다. 실례로 지령 


chown -R lynn 


은 현재등록부뿐아니라 그 아래에 위치한 모든 부분등록부들에 있는 모든 파일들에 대한 
소유권을 lynn 사용자에 게 준다. lynn 사용자자체 가 chown 지 령 을 실 행 하여 이 파일 들에 대 
한 소유권을 가질 수는 없다. 반드시 뿌리 사용자가 lynn 사용자를 위 하여 이 지령을 실행 하 
여 야 한다. 


추 __- 

UNIX 에서는 대소문자를 정 확히 구별하므로 요는 반드시 대 문자여 야 한다. 


Chgrp 지령을 리용하여 그롭과 파일의 결합을 변경시킬수 있다. 이 지령은 파일을 1 
차그룹 또는 다른 그룹들과 결합할 때 리용한다. 실례로 passwd 파일을 users 라는 1차그룹 
과 결합하였다고 하자. 또한 ■록자가 users 그룹과 admin 그롭의 성원이라고 가정하자. 독자 
가 파일을 창조할 때 이 파일은 자동적으로 users 그룹파 결합된다. 이것을 admin 그룹과 
결 합되 게 하려 면 다음의 지 령 을 실 행 시 킨 다. 
chgrp admin file-name 

이 지 령은 파일과 admin 그룹의 결합을 변경 한다. 현재 설정된 그룹허 가는 users 가 아 
니 라 admin 그룹과 결합되여 있다. chown 지 령과 같이 전체 등록부구조에서 모든 파일에 
대한 그롭결합을 재귀적으로 변경하는데 - R 스위치를 리용할수 있다. 

구 좌 관 리 

UNIX 체계는 사용자와 그룹을 관리하는 측면에서 자립적이라고 볼수 있다. 이것은 
다중 UNIX 체 계 에서 구좌정 보를 매 체 계단위 로 나누어서 관리할수 있다는것 을 의 미한다. 
UNIX 의 특징은 또한 NIS [이 미 누런폐지 (Yellow Pages ) 라고 알려 져 있다.]의 갱 신판인 망 
정보봉사 +( NIS +) 를 통하여 집중적으로 관리될수 있다. 

NIS + 는 다중체계에서 사용자와 그룹정보를 공유하도록 설계된 계층자료기지이다. 
NIS 정보를 공유하는 체계의 집합을 령역이라고 한다. 령역에 대한 사용자접근을 주기 위 
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하여 관리 자는 사용자의 구좌를 기 본 NIS 봉사기 에 단순히 추가하면 된다. 만일 사용자가 
령역안의 체계에 접근하려고 시도한다면 체계는 사용자가입을 확인하기 위하여 기본 
NIS 봉사기에 접촉한다. 이것은 사용자가 정의된 국부구좌가 없어도 체계에 대한 접근허 
가를 얻을수 있게 한다. 

틍과암호과일 

모든 사용자인증요구는 passwd 라는 통과암호파일에 기초하여 검증된다. 여기에 
passwd 파일의 실례를 보여 준다. 


[ cbrenton@thor / etc ]$ cat passwd 

root : Y 2 YeCL 6 KFwl 0 E :0:0: root :/ root :/ bin/bash 

bin :*: l : l : bin :/ bin : 

daemon :*:2:2: daemon :/ sbin : 

adm : *:3:4: adm :/ var / adm : 

lp : * :4:7: lp :/ var / spool / lpd : 

sync :* :5:0: sync :/ sbin :/ bin/sync 

shutdown :*:6:0: shutdown :/ sbin :/ sbin/shutdown 

halt : *:7:0: halt :/ sbin :/ sbin/halt 

mail :*:8:12 : mail : / var / spool / mail : 

news :*:9:13: news :/ var / spool / news : 

ftp :*:14:50 :FTP User :/ home / ftp : 

nobody :*:99:99: Nobody :/: 

cbrenton :7 aQNEpErvB / v .:500:100 :Chris Brenton :/ home / cbrenton :/ bin/bash 
deb : gH / BbcG 8 yxnDE :501:101 :Deb Tuttle :/ home / deb :/ bin/bash 
dtuttle : zVKShMTFQU 4 dc :502:102 :Deb Tuttle (2):/ home / dtuttle :/ bin/csh 
toby : PpSifL 4 sf 5 Mc :503:103 :Toby Miller :/ home / toby :/ bin/bash 


매행은 단일사용자를 위한 인증정보를 나타낸다. 입구점마당들은 두점(:)으로 구분된 
다. 왼쪽에서 오른쪽으로 매개 마당들의 의미는 다음과 갈다. 


• 가입이름 

• 암호화된 통과암호 

• 사용자식별자 

• 1차그룹식별자 

• 가입 이름에 대 한 설명(보통 사용자의 전체 이름) 

• 사용자의 홈등록부위치 

• 이 사용자를 위한 벨 또는 지령렬해석기 
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뿌리사용자는 항상 UID 와 GID 가 0이다. 또한 FTP 와 같은 처리들은 뿌리로 체계에서 
기동하지 못하도록 유일한 UID 와 GID 를 배 당한다. 그것은 공격 자들이 이 봉사들중의 하 
나를 손상시 킬 수 있 는 여 러 가지 위 험 을 제 한하기 위 해 서 이 다. 

별표 (*) 로 된 통과암호마당은 차단된 구좌를 나타낸다. 차단구좌를 리용하여 체계에 
인증될수는 없다. 차단구좌는 사용자구좌를 무효화시키거 나 동작중인 처 리들을 보안하는 
데 리용될 수 있 다. 


일러두기 

쉴입구점이 공백 또는 구좌가 무효인 사용자는 체계에 telnet 을 리용하여 원격으로 
가입하거나 또는 조종탁으로부터 가입할수 없다. 이러한 기능은 POP 와 IMAP 와 같 
은 봉사들은 제 공하지 만 사용자들에 게 telnet 를 통하여 쉘 접근하는것 을 허 용하지 않 
는 경우에 리용할수 있다. 


통과암호마당 

passwd 파일출력실례에서 알수 있는바와 같이 파일에는 통과암호의 암호문이 보관되 
여 있다. 이것은 사용자의 체계인증에서 passwd 파일의 정보가 필요하기때문이다. 이것이 
또한 주되는 보안문제로 된다. 왜냐하면 체계에 대한 합법적인 접근을 가지고 있는 사용 
자에 의하여 passwd 파일 이 다른 콤퓨터 로 복사될 수도 있 고 힘 내 기 공격 에 의하여 사용자 
통과암호들이 해 독될수도 있기때 문이 다. 

UNIX 는 사용자통과암호를 암호화할 때 매우 강한 암호화알고리듬을 리용한다. 
UNIX 는 사용자통과암호를 암호열쇠 로 한 56 bit DES 를 리 용하여 모든 비 트가 0인 평 문을 
암호화한다. 얻어 진 암호문은 사용자통과암호를 열쇠로 하여 다시 암호화된다. 이러한 
처 리 가 총 25번 반복한다. 

마지 막암호문의 해득을 더 어 렵게 하기 위 하여 소금결정 (grain of salt ) 이 라는 두번째 
열쇠가 리용된다. 이 《소금》은 그때의 정황에 따라 0과 4095사이 값을 가진다. 이것은 
만약 두명의 사용자가 같은 통과암호를 가진다고 하여도 마지막암호문은 서로 다르다는 
것을 보증한다. 실례로 passwd 파일의 출력을 다시 보자. 사용자 Deb Tuttle 은 2개의 구좌 
를 가전 다. 그리 고 같은 통과암호를 리용하지 만 결 과암호문들은 서 로 다르다. 

통과암호를 암호화하는데 리용한《 소금》값은 암호문의 첫 두개 문자이 다. Deb 의 통 
과암호가 창조될 때 리 용된 《소금》은 gH 이 고 dtuttle 통과암호에 리 용된《소금》은 zV 
이다. 사용자가 체계에 인증될 때 《소금》은 암호문으로부터 추출되여 사용자가 입구한 
통과암호를 암호화하는데 리용된다. 얻어 진 두개의 암호문들이 서로 갈으면 사용자는 확 
인되고 체계접근이 허용된다. 

UNIX 통과암호해득 

UNIX 는 암호화를 적용하여 passwd 파일을 만들 때 일반적 인 암호화를 리용한다고 말 
한다. 이것은 공격 자가 25번 암호화된 파일 자체를 직 접 공격하는것 이 아니 라 암호화에서 
열쇠 로 리 용된 실제 의 통과암호를 찾으러 고 하기때 문이 다. 그런데 암호문을 해 득하자면 
반드시 열쇠 가 필요하며 이 열쇠 가 바로 공격 자가 해 득하려 고 하는 통과암호이다. 

그렇다면 어떻게 UNIX 통과암호를 해득하는가? 그것은 체계가 사용자를 인증하기 위 
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하여 하는것과 갈은 처리를 적용하는것이다. 공격자는 통과암호를 알아 내려고 할 때 
passwd 파일 의 암호문입 구점 에 서 《 소금》을 추출한다. 그 다음 여 러 단어 들을 규칙 적으 
로 암호화하여 암호문과 일치되는 문자렬이 얻어 질 때까지 계속한다. 일치되는것을 찾 
으면 공격자는 정확한 통과암호를 알게 된다. 


추 __°1 

통과암호를 알아 내기 위하여 리용된 단어목록을 보관하고 있는 파일을 사전파일이 
라고 한다. 


공격 자는 암호문을 반대 로 처 리하여 통과암호를 알아 낼수는 없지 만 힘 내 기 공격 을 
리 용하여 정 확한 통과암호를 추측할수는 있 다. 그러 므로 공통적 인 단어 또는 봉사기이 름과 
사용자이름과 류사한 단어들을 통과암호로 리용하지 않는것이 중요하다. 이러한 단어들이 
보통 공격자가 시도하는 첫번째 단어들이 다. 

그림자통과암호 

passwd 파일 의 통과암호문에 대 한 사용자보기문제 를 해 결 하는 한가지 방법 은 암호문 
을 어 딘가 다른 위치에 보관하는것이 다. 이 것이 그림자통과암호의 목적 이 다. 이 것 은 뿌리 
사용자만이 접근할수 있는 파일에 암호문을 보관할수 있게 한다. 또한 체계의 모든 사용 
자가 이 정보에 접근하는것을 차단한다. 

그림 자통파암호가 리용될 때 passwd 파일의 통과암호마당에는 오직 문자 x 만이 포 
함된다. 통과암호의 암호문은 shadow 라는 파일 에 서 찾아야 한다. shadow 파일 의 형 식 
은 모든 마당들이 두점(:)으로 구분되 는 passwd 파일 과 같다. shadow 파일 의 매 입 구점 
은 최 소한 사용자가입 이 름과 통과암호를 포함한다. 또한 사용자가 자기 의 통과암호변 
경 이 허 용되기전까지의 가능한 최소，최대시 간과 같은 통과암호수명정 보도 선택적으로 
포함할수 있다. 


§2 

그림 자통과암호를 러용하려 면 먼저 리 용하고 있는 다른 인증체 계 들이 shadow 형 식 과 
호환성이 담보되는가를 확인하여야 한다. 실례로 NIS ( NIS + 는 아니다.)의 대다수 이 
전 판본들은 통과암호정보가 passwd 파일에 보관되여 있을것을 요구한다. 만일 이러 
한 체 계들중의 하나에 그림 자통과암호를 설 치하면 NIS 는 정지되며 체계 에 더 이상 
접근할수 없게 핀다. 


그룹과일 

이 장에서 이미 설명한바와 같이 그롭파일은 매 그룹 또는 그룹성원들과 결합되여 있 
는 GID 를 식 별하는데 리 용된다. 대부분 UNIX 판들은 사용자가 한개 이상의 그룹에 소속되는 
것을 허용한다. 그롭파일의 실례를 아래에 보여 준다. 
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disk ::6 ::root 
lp ::7: daemon , lp 
mem ::8: 
kmem ::9: 

wheel : : 10 :cbrenton 
mail ::12 :mail 
news ::13 :news 
ftp ::50: 
nobody : :99: 

users :: 100: cgrenton , deb , dtuttle , toby 

cbrenton : : 500 :cbrenton 

deb ::501 :deb 

dtuttle ::502 :dtuttle 

toby : :503: toby 

사용자 cbrenton , deb , dtuttle , toby 들은 자기 들의 가입이 름을 공유하고 있는 고유한 그 
룹의 성 원들이면서 또한 users 그룹의 성 원들이다. Passwd 파일을 좀 더 조사하면 매 사용 
자들이 자기의 1차그룹으로서 가입 이름과 같은 그룹을 가지고 있다는것을 알수 있다. 이 
것은 사용자들이 의도한 이상으로 접근이 배당되는것을 막을수 있으므로 보안기능을 강 
화할수 있게 한다. 

사용자가 파일을 창조할 때 체계는 파일소유자뿐아니라 소유자그롭에도 읽기，쓰기 
접근을 제공한다. 이것은 사용자가 resume . txt 라는 파일을 창조하였다면 사용자의 1차그룹 
에 속하는 모든 성 원들이 그 파일 에 대 한 쓰기접 근을 가지 게 된 다는것 을 의 미한다. 이 것 
은 기 정 으로 일반적인 허가설정이 배 당되 여 있 기 때 문이다. 즉 사용자가 chmod 지령의 리 
용을 잘 모르거나 잊어 먹을수 있는 경우를 예상해서이다. 

이러한 파일허가문제를 해결하기 위하여서는 매 사용자를 유일한 그룹으로 배당하여 
야 한다. 이 것은 기정 으로는 모든 다른 사용자들이 《 그밖의 모두》에 의하여서 보여 지며 
파일 접 근이 최 소준위 (보통 읽 기 )로 제 공된 다는것 을 의 미한다. 그러 나 만일 다른 사용자를 
더 높은 준위의 파일접근을 가지게 하려 고 한다면 chgrp 지 령 을 리용할수 있다. 이것은 더 
높은 준위의 파일접근을 보증하기전에 무엇을 하여야 하는가를 먼저 고려해 보아야 한다 
는것 을 의 미한다. 

실례로 사용자 cbrenton 이 smtp . txt 라는 파일을 창조한다고 하자. 파일목록은 다음과 
같 다. 


[cbrenton @ thor cbrenton ] $ Is _ al smtp.txt 

- rw _ rw _ r -一 1 cbrenton cbrenton 499 Feb 5 1997 smtp.txt 


사용자 cbrenton 은 cbrenton 이라는 단일그룹에 있으므로 체계의 모든 다른 사용자들은 
이 파일에 읽 기 접근만이 가능하다. Cbrenton 이 deb , dtuttle , toby 에 게 쓰기접근을 허 용하려 
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고 한다면 chgrp 지 령 을 리용하여 이 파일과 users 그롭을 결합하여 야 한다. 지 령의 문법은 
다음과 갈다. 


chgrp users smtp.txt 


이 지 령을 실행한후에 smtp . txt 의 목록은 다음과 같이 나타난다. 


[cbrenton @ thor cbrenton ]$ Is _al smtp.txt 

- rw - rw - r 一一 1 cbrenton users 499 Feb 5 1997 smtp.txt 

Users 그룹의 모든 성 원들 ( deb ， dtuttle , toby ) 이 smpt.txt 파일 에 대 한 읽 기，쓰기 접 근을 
가지게 된다. User 그룹에 소속되지 않은 다른 모든 사용자들은 여전히 이 파일에 대하여 
읽기접근만을 가지고 있다. 

회전그룹 (Wheel Group ) 

UNIX 체 계우에 서 사용자는 su 지 령 을 리용하여 또 다른 사용자의 신분으로 가정 하는 
것 이 허 용된다. su 지 령 에서 가입이 름을 밝히 지 않으면 뿌리구좌로 가정 하고 뿌리사용자 
통과암호를 요구한다. su 지 령 을 리용한 실례 를 보여 준다. 


[cbrenton @ thor cbrenton ] $ whoami 
cbrenton 

[ cbrenton@thor cbrenton ]$ su 
password : 

[ root@thor cbrenton ]# whoami 


[ root@thor cbrenton ]# who am i 

thor . foobar.comlcbrenton ttypO Aug 30 23:34(192.168.1.25) 
[ root@thor cbrenton ]# 


체계는 사용자의 현재 가입 이름을 확인한다. Whoami 지 령의 출력에서 알수 있는바와 
같이 체계는 사용자를 cbrenton 으로 확인하였다. 그 다음 스위 치 없이 su 를 입 력 하면 체 계 
는 뿌리사용자의 통과암호를 요구한다. 통과암호를 입 력하면 그이후의 whoami 지 령 에서는 
뿌리사용자로 확인한다. 그러나 Whoami 지령을 리용하면 체계가 여전히 실제의 사용자를 
알고 있다는데 대 하여 생각하여 야 한다. 

이것은 누가 관리 자권한을 람용하였는가를 추적할수 있는 아주 중요한 기능이 다. 
/ var / log / message 파일의 마지막입구점을 검사하면 다음의 결과를 얻는다. 


Aug 30 23:34:56 thor su : cbrenton on / dev/ttypO 
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이 정 보는 cbrenton 이 언제 뿌리 준위 권한을 가정 했는가를 나타낸 다. 만일 비 법 적 으로 
뿌리 권한을 람용한 사용자가 자기 의 흔적 을 없애 기 위하여 이 입 구점 을 제 거하려 고 시 도 
할것이 우려된다면 모든 기록입구점들을 원격체계로 보내도록 syslog 를 리용할수 있다. 

뿌리 준위 권한을 가정할수 있는 사용자들을 제 한하는 한가지 방법 은 그룹파일 에 서 회 
전그룹입 구점 을 리용하는것 이 다. 그것 은 회 전그룹의 성 원들만이 뿌리 준위 권한을 가정할 
수 있기때문이다. 이 절에 있는 그룹파일을 조사하면 사용자 cbrenton 만이 su 지령을 뿌리 
권한으로 리용할수 있다는것을 알수 있다. 이것은 사용자 deb 는 뿌리준위통과암호를 알 
고 있 어 도 자기 의 구좌를 뿌리 로 가정할수 없 다는것 을 의 미한다. 

사용자 deb 는 뿌리사용자로 직접 체계에 가입하든가 먼저 구좌 cbrenton 으로 들어 
갈 때만이 우의 기능이 가능하다. 이것은 뿌리준위구좌를 손상시키기 훨씬 더 어렵게 
한다. 

국부조종탁에로의 뿌리가입들 제한 한다 

앞에서 설명한바와 같이 deb 가 뿌리준위통과암호를 알면 뿌리로 체계에 직접 가입하 
여 회전그룹보안을 우회할수 있다. 이것은 이 대화를 기록할수 있는 능력을 잃어 버 릴수 
있으므로 불리하다. 명백히 뿌리사용자가 체계에 만들수 있는 련결류형을 제한하는것이 
유익 하다. 

실례로 뿌리구좌를 제한하여 가입이 오직 국부조종탁으로부터만 허가되도록 할수 있 
다. 이것은 뿌리사용자로 직접 가입하기 위하여서는 기계에 물리적으로 접근하여야 한다 
는것을 의미한다. 또한 이것은 체계 에 원격으로 (telnet 와 같은 프로그람으로) 련결된 임의 
의 사용자가 첫 가입 은 자기접 근준위 로，그 다음은 su 지 령 을 리용하여 뿌리준위 로 접 근 
할수 있다는것을 의미한다. 이것은 모든 원격사용자들에 대 한 회 전그룹제 한을 실시할수 
있게 한다. 

대부분 UNIX 체계들은 뿌리의 능력을 체계접근으로 제 한한다. 대체 로 / etc/securitty 
파일에 입 구점 을 창조하여 진행한다. 실례 로 securitty 파일은 다음과 같다. 


[ root@thor / etc ]# cat securetty 

ttyl 

tty 2 

tty 3 

tty 4 


securetty 파일 안의 입 구점 들은 체 계 접 근시 어 느 대 면부가 뿌리 준위 로 리 용되 는가를 
식별한다. 체계의 직접말단대화는 tty 로 식별된다. 이 파일은 뿌리가 첫 4개의 조종탁 
으로부터만 체계접근이 가능하다는것을 나타낸다. 그밖의 모든 다른 련결시도들은 거 
절 된 다. 이 것 은 deb 가 telnet 를 리 용하여 뿌리 준위 로 체 계 에 접 근하려 고 한다면 비 록 
정확한 통과암호를 알고 있어도 거절된다는것을 의미한다. 이러한 대화의 실례는 다 
음과 갈다. 
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Trying 192.168.1.200 ( thor )". 
Connected to thor . foobar.com 
login : root 
password : 

Login incorrect 
Login : root 
Password : 

Login incorrect 
login : 


실례에서 알수 있는바와 같이 체계는 telnet 를 통하여 뿌리로 접근하는것을 허용하지 
않는다. 공격자에 관해서는 뿌리통과암호가 변경될수 있다. 이것은 공격자가 다른 조종탁 
에서 체계에 접근하는것을 억제할수 있게 한다. 

UNIX 핵심부의 최적화 

불필요한 봉사에 대한 핵심부지원을 제거하는것은 체계를 고정시키는 아주 좋은 방 
법이다. 이것은 체계성능을 최적화할수 있을뿐아니라 보안도 개선할수 있다. 실례로 
UNIX 체 계 를 경 로기 또는 방화벽 으로 리용한다면 파케 트의 원천경 로와 관련한 기 능지원 
은 불필요하다. 이것은 공격 자가 경 로조종표를 우회하기 위하여 또는 속이기 위하여 원 
천경 로조종을 리용하는것 을 막을수 있게 한다. 

UNIX 핵심부의 구성은 매 실행에 따라 약간씩 변한다. 핵심부를 어떠한 구성으로 
재구축할수 있는가는 제작자들이 어떤 선택들을 포함시켰는가에 관계된다. 설명을 위 
하여 Red Hat 판 Linux 와 작업 한다고 하자. Red Hat 는 UNIX 핵 심 부를 재구축할 때 리 
용할수 있는 여 러개의 도형화된 도구프로그람들을 지 원한다. 일부는 어 떤 플래 트홈에 
서는 불가능하다. 


추 __°1 

Linux 는 구성과 관련하여 대 단히 많은 선택항목들을 지원한다. 만일 또 다른 UNIX 
에 대 하여 핵 심 부를 재구축한다면 구성할수 있는 설정기 능들은 제 한된 다. 


Make 의 동작 

표준 Linux 핵심부는 최소의 공통요소들을 지원하도록 설계된다. 그러므로 Linux 핵심부 
는 많은 체 계 들에 서 동작할수는 있지 만 특정한 구성 으로 알맞게 최 적 화할수는 없 다. 


일러두기 

대부분 배포판들은 ’386처 리기를 지 원하는 구성 으로 핵심부를 설치한다. 고유한 하 
드웨어요구에 맞게 핵심부를 다시 콤파일하는것은 체계성능을 크게 최적화한다. 
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Red Had Linux 에 서 핵 심 부를 재 구성 하는데 리 용되 는 여 러 가지 지 령 들이 있 다. 


• make clean 혹은 make improper 

• make config , make menuconfig 혹은 make xconfig 

• make dep 

• make zlmage 혹은 make bzlmage 

• make modules 

• make modules_install 

• make zlilo 혹은 make bzlilo 

매 행의 지 령들중에서 하나만을 리 용하면 된다. Make clean 지 령은 득 필요하지는 않 
지 만 실행 시 켜서 손해 되 는것 은 없 다. 모든 지 령 들은 / user / src/linux 등록부에서 실행 되 여 야 
한다. 

핵심부의 구성 

항상 시작하기전에 핵심부의 상태를 보관하여야 한다. 이 방법은 무엇인가 비정상이 
발생하면 항상 초기구성 으로 돌아 올수 있게 한다. 핵 심 부의 파일 은 /vmlinuz 이 다. 파일 
은 / vmlinuz.old 로 복사하되 절대로 이동시키지는 말아야 한다. 핵심부의 구성과 관련한 
파라메터 들을 선택하는데는 세 가지 지 령 들이 있 다. 


make config 
make menuconfig 
make xconfig 


make config 지 령은 Linux 에 정통한 관리 자들에게 제 일 익숙되 고 제 일 오래된 지 령 
이 다. 

Make config 대면부는 완전히 지령렬에 의하여 구동된다. Make config 대면부는 아주 
세 부적 인 설정기 능을 기 정 으로 제 공한다. 만일 지 령 재 촉상태 를 리해하지 못하면 그것 을 
변경할수 없 다. 대 답마당에 서 질 문표식 을 설 정하여 직 결 도움말에 접 근할수 있 다. 가장 큰 
부족점은 가능한 기능들을 일일 이 설정하여 야 하는 복잡성 이 있다는것 이 다. 차림표도구 
프로그람에 서 는 필 요한 부분으로 이 행하여 변경할수 있 다. 그림 15-1 에 make config 가 수 
행될 때의 출력을 보여 준다. 

Make menuconfig 를 입 력 하면 그림 15_2에 보여 준 지 령대면부가 나타난다. 화살표건 
을 리용하여 차림 표선택들사이를 이동할수 있다. 지정한 선택 에 대 하여 노를 누르면 지 원 
이 유효로， n 을 누르면 무효로 된 다. 일 부 차림 표항목에 서 는 모둘지원을 위하여 m 을 선 
택함수 있다. 이것은 체계가 동작할 때 요구에 따라서 구동기를 적재 또는 제거할수 있 
게 한다. h 를 누르면 기본도움말차림표로 돌아 간다. 
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[root8toby linux]# make config 
ru -C inciude/asm 

( cd Include ; In -sf «sm-i386 asa) 

/bin/sh scripts/Configure arch/i386/con£i9.in 

# 

# Using defaults found in arch/i386/defconfig 


* Code maturity level options 

Prompt for developnent and/oc incoiplete code/dcivers (COHFIG_EXPERIMEIJTAL) [H/y/?] 

* Loadable nodule support 

Enable loadable module support (COMTIG^MODULES) [Y/n/?] 

Set vecsion Information on all syabols foe sodules (C0MFIG_M0DVERSI0US) [Y/n/?] 
Kernel dae&on support (e.g. autoload of modules) (COMF1 G_KERHELD) [Y/n/?] 

* General setup 

Kernel Math «iulation (COHTIG_HATH_EHULATIOH) [Y/n/?] 

Networking siq^port tCOHFIGJBET) [Y/n/?] _ 一 _ 


그림 15-1. make config 의 출력 


Linux Kerael v2.0.27 Configuration I 


Aztov keys navigate the acmi. <EnteO selects submenus — >. Highlighted letters are 
hockeys. Ptessing <T> inc 上 udes, <K> excludes, <H> modularizes features. Press <E9cxE«o 
co exit, <r> for Help. Legend ： [*] built-in [ ] excluded <K> module < > module capable 


I [*] TCP/IP n*tarorking 1 

| 【•】 IP: Corwtdlnfl/gttteiraying • 

1 [ ] IP: an 玉 ticutiag 1 

1 [•] IP: £ir«nailng 1 

1 [ ] IP: ficevall packet 1 

1 [*] IP: accounting 1 

I [ ] IP: optimize aa coutex not host 1 

1 <H> IP ： aliasing airport 

I [ ] IP: PC/TCP co*patiDi 丄 ity mode 1 

I <H> IP: R«v*es« ARP 1 

A 

< Exit > < Help > 


그림 15-2. 차림 표형 핵 심 부구성 화면 


make xconfig 지 령은 X - Windows 안에 있는 쉴로부터 기동하게 한다. make menuconfig 
와 류사하지 만 더 편 리하다. 또한 설정항목조사도 좀더 쉽다. 그림 15-3 에 xconfig 도구프 
로그람의 망부분화면을 보여 준다. 
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그림 15-3. X-Windows 형 핵 심 부구성 화면 


구성선택항목 

선택 방법 에 관계 없 이 유효 또는 무효로 하는 특성 들을 설정하는것 이 중요하다. 망과 
관련한 특성들의 요약된 설명 을 아래 에 목록화하여 제 시하였다. 


일러두기 

더 완전한 목록은 직결도움말과 How-To 파일에서 볼수 있다. 


망지원? 망기능을 유효로 한다. 선택을 재촉할 때 Yes 로 응답하지 않으면 다른 
모든 망관련선택들을 조작할수 없다. 기정 으로는 Yes 이 다. 

주기억을 16 MB 로 제한? 이 설정 은 16 MB 이 상의 주기억 관리 시 에 장애 가 발생하는 
이전체계들을 위하여 제공된다. 대부분의 체계들은 이 설정이 필요 없다. 
기정으로는 no 이 다. 

PCI BIOS 지원? 이것은 하나이상의 PCI 모선확장홈을 가진 체계지원을 제공한다. 

대부분 새 로운 체 계 들은 PCI 를 지 원한다. 기 정 으로는 Yes 이 다. 

망방화벽? Linux 체계가 방화벽으로 동작할수 있게 한다. 이 설정은 대체로 방 
화벽기능을 유효로 한다. 물론 IP 의 방화벽기능만이 지원된다. 이 설정은 
또한 IP 로 통신하는것처 럼 위장하려고 하는 경우 유효로 할 필요가 있다. 
기정은 Yes 이다. 

망가명? 같은 대 면부에 다중망주소를 배 당할수 있게 한다. 현재 IP 규약에 서만이 
지 원된 다. 갈은 물리 적 인 토막에 두개 의 론리적 인 망을 구성할 필 요가 있 
을 때 리 용한다. 망기 판을 여 러 개 사용하는 아파치 Web 봉사기 를 러용하려 
고 계획한 경우 이 설정을 유효로 하여 야 한다. 아파치는 각이한 IP 주소들 
을 같은 망대 면부에 배 당하여 HTTP 요구들을 같은 기 계우에 서 동작하고 
있는 각이한 Web 싸이트들에 보낼수 있다. 기정으로는 Yes 이다. 

TCP/IP 망? IP 망기능을 유효 또는 무효로 설정한다. IP 를 리용하여 통신하려고 한 
다면 이 설정을 유효로 한다. 기정으로는 Yes 이다. 

IP : 전달/교환기? Linux 체 계 가 경로기로서 동작하여 IP 자료흐름을 하나의 대면부로 
부터 다른 대면부로 전달할수 있게 한다. 국부망과 국부망 또는 국부망과 
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광지역망을 련결할 때 리용한다. IP 로 통신하는것처럼 리용하려고 할 때 
또는 체계 가 방화벽일 때 이 설정을 유효로 하여 야 한다. 기정으로는 Yes 
이다. 

IP : 다중전송? IP 다중전송을 리용할 때 또는 OSPF 경 로조종갱 신정 보를 전송하려 고 
할 때 이 설정을 유효로 하여야 한다. 기정으로는 no 이다. 

IP : 방화벽? IP 규약을 리용하여 방화벽 을 지 원할수 있게 한다. 이 선택 은 또한 IP 
로 통신하는것처 럼 위장하려 고 할 때 또는 자료흐름을 구좌에 따라 관리 
하려고 할 때 그리고 투과적인 대리기를 리용하려고 할 때 유효로 설정하 
여 야 한다. 기정 으로는 Yes 이 다. 

IP ： 방화벽 파케트기록? 체계가 방화벽으로 리용될 때 이 설정은 통과하는 모든 
자료흐름을 기록하는 파일을 창조한다. 또한 방화벽 이 매 파케트를 접속 
또는 거부하였는가를 등록한다. 기록은 누가 체계접근을 하고 있는가를 알 
아 내는 좋은 방법이다. 이 선택은 자주 리용된다. 그러한 정보가 필요 없다 
면 시 간에 따라 등록정보를 단순히 지워 버리면 된다. 기정으로는 no 이 다. 

IP : 구좌관리? 체계가 방화벽 또는 망교환기로 동작할 때 이 선택은 통과하는 모 
든 자료흐름을 기록하게 한다. Linux 가 내부망에서 경로조종을 한다면 기 
록정 보가 대 단히 커 질수 있으므로 이 선택 을 무효로 한다. Linux 가 광지역 
망접 속에 서 경 로조종 또는 방화벽기 능을 수행하면서 경 로조종을 할 때 광 
지 역 망리용정 황을 위한 추적 정 보를 유지 하려 면 이 선택 을 유효로 한다. 기 
정은 Yes 이다. 

IP : 호스트가 아닌 경로기로 최적하? Linux 가 정확히 경로기，방화벽 또는 대리기로 
서 동작한다면 이 선택을 유효로 하여야 한다. 만일 체계가 HTTP, FTP, 
DNS 또는 다른 류형의 봉사를 제공한다면 이 선택을 무효로 하여야 한다. 
기정으로는 no 이다. 

IP : 통로화? 무선애 호가 또는 이동 IP 를 위하여 리용할수 있는 IP 파케 트의 IP 교갑화 
지 원을 가능하게 한다. 기정 으로는 필요할 때 체계 가 적재한다는것을 의미 
하는 모둘지원 이 다. 

IP 가명지원? 두개 또는 그이상의 IP 주소를 같은 대면부에 배당할수 있게 한다. 망 
가명 선택 이 또한 유효로 설정 되 여 있 어 야 한다. 기 정 으로는 모둘지 원 이 다. 

IP : PC / TCP 호환성방식? PC/TCP 는 DOS 형 IP 규약탄창이 다. 일부 호환성문제 들이 
있다. 즉 이 전판본들은 갈은 통신규칙 에 완전히 따르지 않는다. 만일 
PC/TCP 가 동작하는 를퓨터로부터 Linux 체계에 련결할 때 장애가 있다면 
이 선택을 유효로 한다. 그렇지 않은 경우에는 이 선택을 무효로 한다. 기 
정 으로는 no 이 다. 

IP ： RARP ? 이 선택은 대체로 디스크 없는 워크스테이션이 자기의 IP 주소를 알아 
야 하는 경우에 리용된다. 선택을 유효로 하면 Linux 체계는 이 요구에 응 
답한다. bootp 봉사운영을 계획한다면 필요할 때 이 선택을 유효로 한다. 
Linux 체계 가 bootp 또는 DHCP 봉사를 제공하지 않는다면 이 선택을 무효로 
할수 있다. 기정은 모둘지원이 다. 
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IP:MTU 통로찾기무효? 최대전송단위 ( MTU ) 는 체계가 원격기계와 통신할 때리용 
하는 가장 큰 파케 트크기 를 알아 낼수 있게 한다. MTU 가 무효이면 체 계 
는 현재 전송에 서 항상 가장 작은 파케 트크기 를 리용하는것 으로 가정한다. 
이 선택 이 통신속도에 크게 영 향을 주므로 호환성문제 를 고려하지 않을 
때 MTU 를 리용하여 야 한다. 기 정 으로는 no 로서 MTU 를 유효로 한다. 

IP : 프레임의 원천경로조종중단? 원천경 로조종은 전송국이 응답전송을 위하여 망경 
토를 지정할수 있게 한다. 이것은 요구에 응답하는 체계 가 국부경 로조종표 
에 따르는 경로대신에 지정된 경로에 따라 전송할것을 요구한다. 


둑 __°1 

외 부에 있 는 잠재 적 인 공격 자들은 공격하는 망내 부에 있 는것 처 럼 위 장하기 위하여 
원천경로조종프레 임들을 리용할수 있다. 원천경로조종은 콤퓨터가 있다고 주장하는 
망을 향해서 가 아니 라 다른 방향으로 프레 임을 보내는데 리용된다. 인터네 트가 제공 
하는 방향으로가 아니라 이런 목적에서 원천경로조종이 리용될 때 그것을 IP 속임 이 
라고 한다. 


통표고리 와 FDDI 와 같은 망위상구조들은 규칙 적 인 통신을 위하여 원천경 
로조종을 리용한다. Linux 가 통표방식 의 위 상구조들과 하나라도 련결되 여 
있으면 원천경로조종이 유효로 되여야 한다. 통신에 이러한 위상구조들이 
리용되 지 않으면 보안강화를 위하여 이 설정 을 무효로 하여 야 한다. 기 정 
으로는 Yes 이며 모든 프레임의 원천경로조종이 취소된다. 

IP : 큰 창문크기를 허용? 이 선택은 많은 프레임들을 응답없이 전송될수 있도록 전 
송완충기공간을 증가시킨다. 이것은 Linux 가 매우 먼 거리(실례로 대륙사 
이 련결)에 있는 두 싸이트들을 련결 하는 고속광지역망(다중 T 1 또는 그보 
다 더 고속인 망)에 직 접 련결될 때 리용한다. 완충기공간의 추가는 주기 
억공간을 추가로 요구한다. 그러므로 이러한 규칙에 맞으며 적어도 16 MB 
의 주기억 을 가진 체 계 에서만 유효로 할수 있다. 기정은 Yes 이 다. 

IPX 규약? IPX 규약지원을 가능하게 한다. 어 떤 IPX 봉사를 구성하려 고 한다면 반 
드시 유효로 하여야 한다. 기정은 모둘구성이다. 

완전한 내부 IPX 망? NetWare 봉사기 는 핵 심 부 OS 와 부분체 계 들사이 통신을 위 하여 
내부 IPX 망을 리용한다. 이 설정은 우의 개념을 한단계 더 확장하여 내부 
IPX 망이 가상호스트를 지원할수 있는 정규망으로 확장시킬수 있게 한다. 
이 설정은 단일 Linux 체계가 다중 NetWare 봉사기로 동작하는것처럼 보이도 
록 기존기능을 더 확장할수 있게 한다. 현재 기능의 《확장》이 필요 없다 
면 이 설정을 무효로 한다. 기정으로는 no 이다. 

AppleTalk DDP ? 이 설정聲 AppleTalk 규약의 지 원을 가능하게 한다. Netalk 묶음 
(Linux 가 AppleTalk 를 위 하여 지 원 한다.)이 리 용될 때 Linux 체 계 는 Mac 의 뢰 
기 에 파일 과 인쇄 기봉사를 제 공할수 있 다. 기 정 으로는 모둘지원 이 다. 

무선애호가 AX .25 수준 2? 이 선택은 무선애호가통신을 지원하는데 리용된다. 이 
통신은 점대점 또는 IP 의 교갑화를 리용한 경우이 다. 기정 으로는 no 이 다. 
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핵심부/사용자 망련결구동기? 이 선택은 핵심부와 사용자처리사이의 통신을 지원 
하기 위하여 설계되 였다. 20()1 년에 이 구동기 는 여전히 시 험적이며 제 품화 
된 봉사기들에서는 요구되지 않는다. 기정 으로는 no 이 다. 

망장치지원? 이 설정은 망통신을 구동기준위에서 지원할수 있게 한다. 망기판지 
원은 광지역 망통신을 위 하여 서 는 유효로 하여 야 한다. 기 정 으로는 Yes 이 다. 

가상 망구동기지원? 이 설정은 순환귀환 (loopback) 주소의 리용을 허용한다. 대부분 
IP 체 계 는 IP 주소 127.0.0.1 로의 전송을 체 계 자체 에 로 다시 귀 환시키 는 자료 
흐름으로 인식한다. 이 선택 은 일부 응용프로그람들이 순환귀 환주소를 리 
용하여야 하기때문에 필요하다. 

EQL (직렬회선 부하조정)지원? 이 선택은 Linux 가 두개의 전화련결상에서 망부하 
를 조정할수 있게 한다. 실례 로 가능한 대 역을 중복시 킴 으로써 두개의 서 
로 분리 된 선들을 통하여 인 터네 트봉사제 공자를 호출할수 있다. 기 정 으로 
는 모둘지원 이 다. 

PUP (병렬 포구)지원? 이 선택은 가상인쇄기케블을 리용하여 두 체계사이 통신을 
지원할수 있게 한다. 두 체계가 성공적인 통신을 보장하기 위하여서는 쌍 
방향병렬포구를 리용하여야 한다. 이것은 더 빠른 통신을 지원한다는것을 
제외하면 가상모뎀 케 블을 리 용하여 직 렬포구로 두 체 계를 련결하는 경우 
와 류사하다. 기정으로는 모둘지원이다. 

PPP (점대점)지원? 이 선택 은 Linux 체 계 가 PPP 광지역 망련결 을 창조 또는 접 수할 
수 있게 한다. Linux 체 계 가 전화가입 련결을 창조하도록 리용하려 고 한다면 
유효로 하여 야 한다. 기 정 으로는 모둘지원 이 다. 

SUP (직렬회선)지원? SLIP 는 PPP 의 이전 판본이다. 두 체계사이의 IP 련결을 제공 
하며 전자우편전송에서 광범히 리 용된다. PPP 에 제 공된 추가적 인 특징 들 
의 우점 으로 하여 SLIP 는 많이 쓰이 지 않는다. 기 정 으로는 모둘지원 이 다. 

무선통신망대면부? Linux 체계가 확산스펙트르통신을 지원할수 있게 한다. 확산스 
펙 트르는 무선국부망통신에 서 거 의 공통적 으로 리 용된 다. 라지오대 면부를 
구성하기 위하여서는 이 설정을 유효로 하여야 한다. 기정으로는 no 이다. 

이쎄 dl 트 (10 또는 100 Mbit )? Linux 체계가 이씨네트망기판을 리용하여 통신할수 
있게 한다. 이씨네트구동기를 선택하려면 유효로 하여야 한다. 기정으로는 
Yes 이 다. 

3 COM 기판? 이 선택은 3COM 망기판목록에서 망기판을 선택할수 있게 한다. 무효 
로 하면 그 어떤 3COM 망기판선택도 할수 없다. 유효로 하면 Linux 가 지 
원하는 3COM 기판의 선택이 가능하다. 기동시에 Linux 는 매 망기판의 리 
용설정정보를 탐색 하고 자동검 사한다. 때때 로 ISA 카드에 대 하여서 는 틀리 
지 만 정 확도는 상당히 좋다. 체 계는 재 기동할 때 구성파라메터를 조사하고 
망기 판을 선택한다. 정 확하면 모두 설정 되 고 틀리 면 기 판설정 또는 구성파 
라메터 들을 변경하여 야 한다. 망기 판은 구성 도구프로그람을 리용하여 설 정 
된다. 기 동설정 은 Red Hat 의 조종탁에 서 핵 심 부데몬구성선택 을 통하여 변 
경될수 있다. 기정은 Yes 이다. 
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AMD LANCE 와 PCnet(AT1500 과 NE2100)? AMD 와 PCnet 망기판의 지원이라는것 
을 제 외하면 3COM 선택 의 경 우와 류사하다. 기 정 으로는 Yes 이 다. 

Western Digital/SMC 기판 ? Western Digital 과 SMC 망기판의 지원이라는것을 제외 
하면 3COM 선택의 경우와 류사하다. 기정으로는 Yes 이다. 

다른 ISA 기판 ? Cabletron 의 E21 계 렬 또는 HT 의 100VG PC 국부망과 같은 일부 망 
기 판들을 더 정 확히 지 정 한다는것 을 제 외하면 3COM 선택 과 류사하다. 유 
효로 하면 Linux 가 지원하는 여러 류형의 망기판을 선택적으로 지원할수 
있다. 기정 으로는 Yes 이 다. 

NE2000/NE1000 지원 ? 일반적인 이씨네트망기판지원이다. 앞의 선택들에서 목록 
화되 지 않은 망기 판을 선택하려 는 경 우 유효로 설정한다. 기 정 으로는 모둘 
지 원이 다. 대 부분의 이씨 네 트망기 판들은 NE2000 과 호환성 이 보장된다. 이 
선택은 좀 포괄적인 의미를 가지고 있다. 

EISA, VLB, PCI, 모판조종기우에서 ? 주기판에 직접 설치된 여러가지 망기판들도 
있 다. 유효로 하면 Linux 가 지 원 하는 여 러 가지 류형 의 망기 판(주기판에 직 
접 설치되 여 있다.)들을 선택할수 있다. 기정 으로는 Yes 이 다. 

휴대용적응기 ? Linux 는 또한 병 렬포구망 적응기를 지원한다. 유효로 하면 Linux 가 
지 원하는 여 러 가지 병 렬 포구적 응기 들을 선택 적 으로 지 원 하게 할수 있다. 
기정 으로는 Yes 이 다. 

통표고리구동기지원 ? Linux 는 통표고리망적 응기집 합을 지 원 한다. 유효로 하면 
Linux 가 지 원하는 여 러 가지 통표고리망적 응기 들을 선택 적 으로 지 원 하게 
할수 있다. 기정 으로는 Yes 이 다. 

FDDI 구동기지원 ? Linux 는 몇개의 FDDI 망적 응기 들도 지 원한다. 유효로 하면 Linux 
가 지 원하는 각이한 FDDI 망기 판들을 선택 적 으로 지 원하게 할수 있 다. 기 
정 으로는 no 이 다. 

ARCnet 지원 ? 이 선택은 ISDN 광지역망기판지원을 가능하게 한다. ISDN 리용을 
계획한다면 또한 이미 설명한 PPP 지원도 유효로 하여야 한다. 기정으로는 
모둘지 원 이 다. 

동기식 PPP 지원 ? 이 선택은 ISDN 회선에서 동기식통신을 지원한다. 일부 ISDN 하 
드웨어는 이 선택을 유효로 할것을 요구하며 련결시에 이 리용을 협의한 
다. ISDN 을 리용하려 면 필 요한 경 우에 이 선택 을 유효로 하여 야 한다. 기 
정 으로는 Yes 이 다. 

동기식 PPP 에서 VJ- 압축리용 ? 이 선택은 동기식 PPP 가 리용될 때 머리부압축을 가 
능하게 한다. 기정은 Yes 이다. 

일반 MP(RFC 1717) 지원 ? 동기식 ppp 가 리용될 때 이 선택은 ISDN 회선에서 다 
중통신을 가능하게 한다. 이 선택은 새로운 규정으로서 아직 광범히 지원 
되지는 않는다. 기정으로는 no 이다. 

ISDN 에서 음성지원 ? ISDN 기판이 지원될 때 이 선택은 Linux 체계가 수신되는 음 
성호출을 접 수하고 응답할수 있게 있 다. 기 정 으로는 no 이 다. 

NFS 파일체계지원 ? 이 선택은 NFS 를 리용한 파일체계의 설치와 봉사를 지원할수 
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있게 한다. NFS 는 UNIX 체계들사이 파일을 공유하는데 가장 많이 사용된 
다. 또한 다른 플래트홈에 의해서도 지원된다. 기정으로는 Yes 이다. 

SMB 파일체계지원 ? 이 선택은 NetBIOS/NetBEUI 공유를 지원하게 할수 있다. SMB 
는 Microsoft 의 Windows 체 계 에 서 파일 과 인쇄 기 공유를 위 하여 가장 많이 
사용된 다. 기 정 으로는 Yes 이 다. 

SMB Win 95 오유작업 ? 이 선택은 Linux 체계가 파일을 공유하고 있는 Windows 
95 체 계 의 등록부정보를 회 복하려 고 시 도할 때 일 부 련결 문제 들을 고정시 
킨 다. 기 정 으로는 no 이 다. Windows 95 가 공유한 파일 을 리용한다면 이 설 
정을 유효로 하여야 한다. 

NCP 파일체계지원 ? 이 선택은 Linux 체계를 NetWare 봉사기에 련결할수 있게 한다. 
련결되면 Linux 체 계는 NetWare 봉사기의 파일체 계를 설 치 할수 있다. 기정 으 
로는 모둘지원 이 다. 

의존성검사 

구성선택을 끝낸 다음에는 make dep 를 기동시킨다. 이 지령은 핵심부를 콤파일하기 
전에 의존성검사를 실행하여 요구되는 모든 파일들이 존재하는가를 확인한다. 체계속도 
에 따라 이 지 령실행 은 l~15min 걸린다. 초원을 바라보는것 처 럼 시 원한 느낌 은 없지 만 
오유가 없 다는것 을 확인하기 위 하여 서 는 주의 를 집 중하여 의 존성검 사를 정 확히 하여 야 
한다. 


일러두기 

오유는 보통 필요한 파일을 빠뜨린것으로 하여 발생한다. 무엇이 빠졌는가를 알면 
전 단계들을 조사하면서 어느 단계에서 잘못하였는가를 찾아 낼수 있다. 


작업공간지우기 

다음은 모든 대상파일들이 제거되 였는가를 확인하기 위하여 make clean 을 실행할수 
있다. 이것은 최신개정판핵심부들에서는 대체로 요구되지 않지만 실행시킬 때 파괴되는 
것은 없다. 이 지령은 보통 lmin 이내에 실행된다. 

핵심부콤파일 

현재 까지 기존능동체 계 를 변경시 키지 는 않았다. 모든 변경 들은 파일들을 구성한것 
뿐이 다. 다음지 령 make zlmage 는 선택 한 구성 파라메 터 들에 기 초하여 핵 심 부를 창조하 
여 현재 리용하고 있는 핵 심 부를 교체한다. 핵 심 부가 너 무 크다 (2.2.x 이 상의 핵 심 부들에 
서 는 공통적 이 다.)는 오유가 발생 하면 make bzlmage 를 리 용하여 압축형 태 로 핵 심 부를 
창조한다. 


죽 __°1 

zlmage 와 bzlmage 에 서 I 가 대 문 자 이 라는것 을 명 심 해 두기 를 바 란 다. 왜 냐하면 
UNIX 체계가 대문자와 소문자를 엄격히 구별하기때문이다. 
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이 지령은 처리기속도와 체계에 실장한 물리기억의 크기에 따라서 실행시간이 좌우 
되지만 다른 지령에 비하여 오랜 시간이 요구된다. 주기억 128MB, 400MHz 인 펜터움에 
서 새 로운 핵 심 부를 창조하는데 10~20min 간 걸린 다. 

기동관리자구성하기 

다음단계는 새 로운 핵 심부에 대 한 지시 기 를 설정하는데 필요한 Linux 기동관리 자 
LIL ◦를 만드는것 이 다. 이 것 은 지 령 make zlilo, make bzlilo 를 실 행 하든가 또는 /boot 등록 
부에 핵 심부를 복사하고 수동으로 /ete/lilo.config 를 만들 때 새 로운 핵 심부에 대 한 입구점 
들을 추가한 다음 Hlo 지령을 재기동하여 진행된다. 

이제는 체 계를 재 기동하면 새 로운 핵 심부으로부터 기동한다. 체계기동시 에 새 로운 
오유에 대 하여 주목할 필요는 없 다. 체 계기동이 완전히 거 절되 면 비 상회 복디 스크를 리용 
하여 체 계를 재 기동하고 이 장의 《핵 심부구성 하기》절에서 설명한 여 벌핵 심부를 재적재 
한다. 이것은 체계를 재기동하여 무엇이 잘못되였는가를 찾을수 있게 한다. 

망구동기설정의 변경 

망구동기의 구성 에서 오유가 나타나면 망구동기설정 을 변경하여 야 한다. 이것은 
Real Hat 의 조종탁에 서 핵 심 부데 몬구성선택 으로 진행 된 다. 그림 15_4 에 장치 구동기 의 설 
정 을 추가, 계거，변경할수 있는 핵 심부구성창문을 보여 준다. 



그림 15-4. 핵심부구성창문 
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그림 15-5. 특정 구동기 에 대 한 기 동파라메터 들을 변경할수 
있는 모둘선택설정창문 














특정한 구동기 를 지 정 하고 Edit 를 선택하면 그림 15-5 에 보여 준 모둘선택설정대 화 
칸이 나타난다. 여 기서 는 Linux 가 망기 판을 초기 화할 때 리용하는 구성파라메 터 들을 변 
경할수 있 다. 변경 이 끝나면 유효로 하기 위하여 핵 심 부를 재 기 동할수 있 다. 

핵 심 부를 창조하는데서 는 반드시 리용하려 는 선택 들만 지 원하도록 핵 심부를 최 적화 
하여 야 한다. 이 것 은 지 원을 핵 심 부자체 에 서 제 거 하기 때 문에 공격 자가 임 의 의 봉사에 접 
근하는것 을 차단할수 있다. 공격 자가 봉사에 접 근하기 위하여 어 떤 기 능을 지 원 하자면 
체계핵심부를 재구축하여야 한다. 그러므로 이러한 문제들이 무시되지 않도록 핵심부를 
최적화하는것이 제일 좋다. 


일러두기 

일 단 핵 심 부를 최 적 화하였 다면 다음은 불필 요한 IP 봉사들을 제 거 하여 야 한다. 


IP 봉사관리 

UNIX 는 많은 IP 봉사를 지원할수 있는 체계로 발전하였다. 이것은 기능상 측면에서 
는 아주 우수하지만 보안상측면에서는 그렇지 못하다. 봉사가 다양한 체계는 취약성이 
로출될 가능성 이 더 크기때 문에 쉽 게 리용당할수 있다. 실례 로 UNIX 체 계 를 공격하려 는 
공격 자들은 HTTP , FTP , SMTP 봉사들에서 엄격 한 보안대 책 이 강구되 였지만 고려 하지 못 
한 결점들이 있다는것을 알아 내려고 시도한다. 

다음의 몇개 단락들에서 UNIX 에서 특징 적 인 IP 봉사들과 불필요한 점들을 어 떻게 제 
거하는가에 대 하여 설 명한다. 

IP 봉사 

UNIX 에서 가능한 IP 봉사들은 대 단히 많다. UNIX 의 특징은 기정 으로 어느 봉사가 
유효인가를 결정할수 있다는것이다. 그러므로 어느 봉사가 동작하고 있는지를 확인하기 
위하여 봉사와 관련 한 구성 정 보를 검 사할 필 요가 있 다. UNIX 에 서 공통적 으로 유효한 봉 
사들은 다음과 갈다. 

bootp 봉사기 

UNIX 의 bootp 봉사기 는 망의 뢰기 들에 기 동관련규약 ( bootp ) 과 동적호스트구성규약 
( DHCP ) 봉사를 제공한다. DHCP 와 bootp 의뢰기 들은 독자적 으로 또는 복합환경 에서는 서 로 
련관되 여서 봉사를 제 공 받을수 있다. bootp 봉사는 의뢰기 가 동적 으로 IP 주소와 부분망마 
스크정보를 엄을수 있게 한다. DHCP 는 이러한 구성설정과 기정경로，령역이름 등과 같 
은 많은 정 보제 공을 지 원한다. 대부분 UNIX 체 계들은 bootp 봉사기 를 기동하지 않는다. 

DNS 봉사기 

UNIX 플래트홈을 위하여 선정된 령 역이름봉사기는 버클리 인터네트이름 령 역 ( mND ) 
봉사기 이 다. BmD 는 인터네 트에서 령 역이름정 보교환에 리 용된 최 초의 그리 고 여전히 광 
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범히 리용되 는 도구 프로그람이다. BmD 봉사기 는 1차，2차 또는 완충기 능만을 가진 령 역 
이름봉사를 제공할수 있게 구성될수 있다. 

대부분의 UNIX 조작체 계는 국부 DNS 봉사기를 기동한다. BIND 는 1 차 또는 2 차로 동 
작하도록 체계를 구성하지 않는 한 기정으로는 완충이름봉사기로 동작하도록 구성되여 
있 다. BIND 는 완충이름봉사기로 동작할 때에는 TCP 와 UDP 포구 53 에 대한 문의에 만 응 
답할수 있다. mND 는 named 라는 자기자체의 개별적 인 처리로서 동작한다. 

BIND 는 해커 들이 UNIX 체 계 접 근을 위하여 자주 리 용하고 있는것 으로 하여 이 름이 났 
다. 그러므로 BIND 의 최신판본을 구입했는가를 확인하고 중요한 망봉사에 관해서는 최신보 
안정 보문제 들을 CERT(ww.cert.org) 와 검 사하여 야 한다. 

Finger 봉사기 

특정 콤퓨터 의 사용자정 보를 볼수 있는 UNIX 의 기 능인 Finger 는 보안을 위하여 리용 
되지만 중요한 보안구멍을 제공할수 있는 봉사기들중의 하나이다. 

UNIX 는 의뢰기 와 봉사기 에 대 한 Finger 봉사를 제 공한다. 이 봉사는 사용자에 대 한 
정 보를 조사할수 있도록 이 름에 따라 구좌정 보를 제 시한다. Finger 요구로부터 의 출력실 례 
를 아래에 보여 준다. 


[cbrenton@thor cbrenton]$ finger root@loki.foobar.com 

Login:root Name:root 

Directory: /root Shell: /bin/bash 

Last login Sun Aug 30 17:43 (EDT) on ttypO from 192.168.1.25 

New mail received Mon Aug 31 02:41 1998 (EDT) 

Unread since Mon Aug 31 01:03 1998 (EDT) 

No Plan. 

[cbrenton@thor cbrenton]$ 


이 출력 에는 주목할만 한 가치 가 있는 몇 가지 점 들이 있다. 우선 Loki 라는 원격기 계 
의 어떤 사용자를 문의하기 위하여 체계 Thor 로부터 Finger 의뢰기를 기동하고 있다. 
Finger 는 국부접 근만이 아니 라 망상의 리 용을 위 해서 도 설계 되 였 다. 또한 Finger 는 뿌리 사 
용자를 포함하여 passwd 파일에 있는 임의의 사용자와 작업한다. 

우의 출력 실례 로부터 뿌리 사용자가 192.168.1.25 에 서 telnet 대 화 (ttypO) 를 통하여 련결 
하였으며 토요일부터는 체계를 검사하지 않았다는것을 알수 있다. 만일 이 체계에 대한 
공격을 계획하고 있다면 우의 실례로부터 중요한 정보를 가질수 있게 된다. 

• 검 사를 피 하기 위한 정 보로서 뿌리 가 체 계를 어 떤 주기 로 검 사하는가를 알아 
낼수 있다. 

• 뿌리 가입 을 위한 통과암호를 얻 기 위하여 Loki 와 192.168.1.25 사이 의 telnet 대 
화를 감시할수 있 다. 

• 일단 뿌리의 통과암호를 엄으면 뿌리가 telnet 를 통하여 인증될수 있기때문에 
기 계 에 대 한 물리 적 접 근이 필요 없 다는것 을 안다. 
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이것은 단순히 하나의 지령을 기동하여 얻은 아주 많은 량의 정보이다. 뿌리사용자 
가 실지로 체계에 련결하였을 때 류사하게 다음의 결과가 나타났다고 하자. 


[ cbrenton@thor / etc ]$ finger deb 

Login:deb Name : Deb Tuttle 

Directory : / home/deb Shell : bin/bash 

On since Mon Aug 31 13:15 ( DET ) on ttyp 3 from 192.168.1.32 
16 minutes 46 seconds idle 
No mail 
No Plan 

여기서 알수 있는바와 같이 Deb 는 192.168 丄32에서 telnet 대화를 능동으로 유지하고 
있 었지 만 16 min 42 s 동안 아무것 도 하지 않았다. 만일 누가 Deb 의 를퓨터 에 물리 적 인 접 
근을 할수 있다면 Deb 가 자기의 위치를 리랄했다는것을 의미하는 비활동시간을 리용할 
수 있다. 이것은 다른 사람이 Deb 의 콤퓨터에 있는 어떤 흥미 있는 자료를 볼수 있는 커 
다란 가능성 을 조성한다. 

Finger 는 이 장에 서 후에 설 명 하는 inetd 아래 의 처 리 로서 동작한다. 대 부분의 UNIX 는 
기정 으로 Finger 를 유효로 설정 하고 있다. 

FTP 봉사기 

UNIX 는 익 명 FTP 봉사를 포함한 FTP 봉사를 제 공한다. 체 계련결 을 위하여 유효한 가 
입 이름과 통과암호로 FTP 를 리용하면 자기의 홈등록부로 떨어 지며 파일체계에 대한 보 
통준위의 접근을 가지게 된다. 

그러 나 anonymous 가입 이 름을 리 용하여 인증되 면 부분등록부(대 체 로/ home / ftp ) 로 떨 어 
지 며 이 점우의 등록부들은 볼수 없 다. 익 명 FTP 사용자에 한해 서 는 / home / ftp 가 뿌리 준위 
등록부로 된다. 


죽 __°1 

/ home / ftp 임 의 의 부분등록부설정 은 익 명사용자가 파일 에 대 한 읽 기 또는 읽 기 쓰기 접 
근을 가질수 있게 한다. 이것을 익명 FTP 접근이라고 하며 사용자들이 적당한 인증 
없이는 전체 파일체계에 접근하지 못하게 한다. 


FTP 는 inetd 아래의 처 리로서 동작한다. 대부분의 UNIX 판들은 FTP 봉사기를 기동하지 
만 모든 익명 FTP 접근은 지원하지 않는다. 가장 대중화된 FTP 인 wu - ftp 는 해커들이 체계 
에 침투할수 있는 결점을 가지고 있는것으로 하여 유명하다. DNS 와 같이 안전한 최신 판 
본을 구입하며 기 동하고 있는 FTP 판에 알려 진 결점 들이 없 다는것 을 CRET 와 확인하여 
야 한다. 
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HTTP 봉사기 

많은 UNIX 체계들이 아파치 ( Apache ) 라는 Web 봉사기(현재까지는 가장 대중화된 Web 
봉사기 이 다.)를 기동한다. 아파치는 Java 스크립트기능과 여 러 홈기능 ( multihoming ) 과 같은 
개 선된 기 능들을 지 원하기때 문에 UNIX 기 반 Web 봉사기 들중에 서 우세 를 차지한다. 여 러 
홈기능은 갈은 Web 봉시기에 여러개의 령역 이름을 가지게 하는 기능이다. 아파치는 목적 
지 Web 봉사기를 찾고 그 령역에 해당한 적당한 등록부구조로 문의를 보낸다. 

HTTP 는 이 전의 축적 CGI 스크립 트들에서 취 약성 이 발견되 였기때 문에 가동을 포기하 
는것으로 하여 특별히 불쾌한 처리이다. 만일 봉사기를 능동으로 계속 유지하고 있다면 
아마 많은 이전 스크립트들을 이미 갱신하였을것이다. 이러한 문제들을 피하기 위하여서 
는 체계에 적재되여 있으면서도 주의를 돌리지 않았던 HTTP 처리들을 제거하는것이다. 
Web 봉사는 httpd 라는 자기자체의 개별적인 처리로 동작한다. 

IMAP 와 POP 3 봉사기 

UNIX 는 POP 과 IMAP 를 리용하여 원격우편검색 을 지 원한다. POP 3 은 이전시 기의 표준 
으로서 대부분 원격우편의뢰기들에 지 원된다. IMAP 은 POP 3 보다 더 많은 특징들을 지 원하 
고 있다. IMAP 는 현재 대중화되기 시 작하였다. IMAP 에는 일부 공개된 약점들이 있으므로 
최 신 판본을 구입 하여 기 동하여 야 한다. 

대부분 UNIX 는 POP 3 과 IMAP 봉사를 능동으로 한다. 둘다 inded 아래의 처 리 로서 동 
작한다. 


죽 __°1 

POP 3 과 IMAP 에 대한 더 자세한 정보는 제3장을 참고하길 바란다. 


Login 과 exec 

이 두개의 데몬 (login 과 exec ) 을 신뢰된 호스트데 몬이 라고도 한다. 이것은 이 데몬들 
이 원격사용자가 통과암호인증을 요구함이 없이 체계에 접근할수 있게 하기때문이다. 

이 데몬을 리용하는 지령은 rep (원격체계로 파일복사)， rlogin (원격체계로 가입)， 
rsh (원격 체 계 우에 서 지 령 실 행 ) 이 다. 이 지 령 들을 총괄하여 묘지 령 이 라고도 한다. 

신뢰는 보안등가에 기초한다. 한 체계 가 다른 체 계를 신뢰할 때 이 체 계는 모든 
사용자들이 정확히 인증되였으며 신뢰된 체계로부터 공격이 절대로 일어 나지 않는다 
는것을 담보한다. 그러나 이러한 신뢰는 련쇄후과를 일으킬수 있다. 공격자는 하나의 
UNIX 체계를 손상시키고 그 다음은 신뢰된 호스트를 리용하여 신뢰하는 측의 체계를 
손상시킨 다. 

신뢰 된 호스트들은 letc / hosts . equiv 파일의 내 용에 의 하여 결정 된다. 이 파일 에 는 신뢰 
된 체계의 목록이 포함되여 있다. Hosts . equiv 파일내용의 실례를 아래에 보여 준다. 

loki . foobar.com 

skylar . foobar.com 

pheonix . foobar.com 
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이 host . equiv 파일이 thor . foobar . com 이라는 체계에 있다면 그때 Thor 는 통과암호인증을 
요구함이 없이 이 체계의 신뢰된 호스트로부터 오는 login 과 exec 봉사요구를 접수한다. 
다른 체계가 접근을 시도하면 련결요구는 거절된다. 


1__豆 

R 지 령 에 의하여 제 공되 는 낮은 준위 의 보안은 간단히 파괴 될수 있다. 공격 자는 통 
과암호보안의 약점 을 리용하기 위하여 속임공격 을 배비 하든가 또는 가능한 DNS 를 
와해시 킨 다. 두개 의 login 과 exec 를 inetd 아래 서 데 몬으로 실 행한다. 그러 므로 이 봉 
사를 무효로 할것 을 강하게 권고한다. 안전한 멜 ( ssh ) 을 리용하여 같은 기 능을 제 공 
할수 있다. ssh 에서는 인증과 암호화가 지원된 통신을 리용한다. 


우편봉사기 

대 부분의 UNIX 는 SMTP 자료흐름을 처 리 하기 위하여 Sendmail 을 포함한다. UNIX 에 
서 가능한 몇개의 다른 SMTP 프로그람들이 있지 만 Sendmail 은 가장 많이 리 용된다. 이 
책 이 집 필되는 기 간에 Sendmail 의 현재 판 번호는 8.11.2 x 이 였 다. Sendmail 의 이 전 판본(특 
히 8.0 이 전)들에 는 많은 부족점 들이 알려 져 있 다. 만일 이 전 판본을 가동시키 고 있 다면 
갱 신을 진지하게 고려하여 야 한다. 


§2 

유감스럽게도 UNIX 제작자들은 Sendmail 개정을 최신판본으로 제공하지 못한다. 그러 
므로 새 로운 OS 판을 설 치하면 Sendmail 만은 1~2년 이 전 판본으로 제 공된 다. 


대부분 UNIX 판들은 Sendmail 을 설치하고 기동시킨다. Sendmail 은 자기자체의 개별적 
인 처리로 동작한다. 데몬의 이름은 Sendmail 이다. 

쓿스봉사기 

제 일 많이 리용하는 UNIX 뉴스봉사기 는 InterNetNews 데 몬 ( INND ) 이 다. UNIX 뉴스봉사 
기 가 귀 환기 능을 제 공하면 원격사용자들은 봉사기 에 련결되 여 새 로운 뉴스기 사를 읽 고 
서로 알려 줄수 있다. 귀환봉사를 제공하지 않을 때에는 봉사기는 단순히 인트라네트 토 
론그롭으로 리용될 수 있 다. 

뉴스는 대부분 UNIX 묶음에 포함되지 않는다. 이것은 전형적인 뉴스봉사기가 대체로 
방대한 자원을 리용하는것 과 관련된 다. 대 량의 디 스크공간(몇주일 동안의 가치 있는 기 사 
들을 보관하는데 대체 로 8 GB ) 외 에 뉴스봉사기는 가동을 위하여 낮은 등급의 처 리 기를 
완전히 독점하여 리용한다. 


일러두기 

뉴스는 가동할 때 체계를 뉴스봉사만을 담당하도록 전용봉사기로 하는것이 좋다. 
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NFS 봉사기 

UNIX 는 NFS 를 리용하여 봉사기파일체계의 일부를 NFS 의뢰기로 보내든가 또는 NFS 
의뢰 기자체가 원격파일체계를 탑재 할수 있게 한다. 기능적으로는 원격 파일체계의 일부를 
구동기 문자에 대 응시 키 는 NetWare 또는 자원을 공유하는 NT 봉사기 와 같다. 차이 는 원격 
NFS 파일체계가 UNIX 의뢰기파일체계의 임의의 위치에 탑재할수 있다는것이다. 

대 부분 UNIX 는 NFS 1.0 관을 지 원 한다. NFS 의 초기 판은 전송규약으로 UDP 를 리 용하 
므로 아주 불안정 하다. NFS 2.0 판은 TCP 를 지 원하여 정 적 파케 트러 과기 능을 리용할수 있 
게 되여 있다. 많은 UNIX 조작체계들은 NFS 봉사기를 능동으로 한다. 특별한 구성을 하지 
않는한 기정 으로는 파일체 계 를 의뢰기 로 내 보내지 않는다. 

숙련된 해 커 들이 파케트러 과기 능을 우회하거 나 람용하기때 문에 NFS 의 리용이 위 험 
한 모험 이라는것을 항상 생각하여 야 한다. 반드시 필요한 경우에만 그것도 방화벽뒤 에서 
만 NFS 를 리용하여 야 한다. 

SAMBA 

SAMBA 는 UNIX 기 계 가 대 화통보문블로크 ( SMB ) 의 뢰 기 또는 봉사기 로 도약할수 있게 
하는 도구집 합이 다. 이것 은 Windows 체 계 가 리용하는 같은 규약이기 도 하다. SAMBA 가 
동작하는 UNIX 체 계 는 비 록 PDC 또는 BDC 로 동작하지 는 못하지 만 Windows 작업그롭 또 
는 령역과 관계할수 있다. 다시 말하여 UNIX 기계 가 Windows 체계와 파일 또는 인쇄기를 
공유할수 있 다. 

대 부분의 UNIX 에 서 는 SAMBA 를 미 리 설 치 하지 않는다. 그러 나 Linux 는 제 외 이 다. 
SAMBA 는 inetd 에 의 하여 조종되 지 않으며 자기 자체 의 데 몬들로 동작한다. 이 데 몬들은 
smbd 와 nmbd 이 다. 


Talk 

UNIX 는 Talk 를 지 원한다. 이것은 인터 네 트중계 담화 (Internet Relay Chat . IRC ) 와 류사하 
다. Ta 止는 대 화가 두 UNIX 기 계 사이에 직 접 창조되 기 때 문에 전용봉사기 를 요구하지 않 
는다. Talk users @ host.domain 을 입 력 하여 련결 을 설 정 할수 있 다. 

Talk 요구의 응답자는 련결을 접수 또는 거절할수 있다. 일단 련결이 설정되면 화면 
이 입 력과 출력용으로 갈라 지며 사용자들은 동시 에 통보문을 입 력할수 있다. 대부분의 
UNIX 는 Talk 를 설치하고 기동시킨다. Talk 는 inetd 아래의 처리로 동작한다. 

현대의 보안방책은 기능최소화이므로 꼭 필요할 때에만 Talk 를 기동시켜야 한다. Talk 
와 갈은 의뢰기 들을 리용하면 갈은 통신능력 을 보존할수 있다. 일부 실례 들은 mC , KQ , 
America Online's Instant Messenger ( AIM ) 를 포함한다. 

시간봉사기 

UNIX 는 망상에 서 의 시 간동기 화를 위하여 망시 간규약 ( NTP ) 을 리용할수 있 다. 망상에 
서 한 체계를 시 간참조봉사기 로 설 치한다. 이 봉사는 인터네 트상의 많은 시 간봉사기들중 
하나와 시 간을 맞춘다. 그 다음 망상의 다른 체계들은 시 간참조봉사기를 검사하여 자기 
의 체계시 간을 정 확히 유지한다. 
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대부분의 UNIX 체계는 NTP 를 설치하고 기동시킨다. NTP 는 inetd 아래의 처리로 동작 
한다. 최 신판본인 NTP 3 은 망상의 참조봉사기 의 식 별을 위하여 증서 를 리용할수 있 다. 그 
리하여 미 지 봉사기 가 참조봉사기 로 가장하는것 을 방지한다. 


죽 __ £j 

NTP 에 대 한 직접적 인 불법리용은 알려 진것 이 없지만 보안방책 이 완만하게 설정되 
여 있으면 공격자들이 가짜시간정보를 류포시키려고 시도할수 있다._ 


Telnet 봉사기 

UNIX 는 봉사기 에 대 한 원격 조종탁접 속을 제 공하기 위하여 telnet 요구를 접 수한다. 
telnet 를 통하여 체계와 련결한 의뢰기들은 봉사기조종탁과 같은 능력을 가질수 있다. 


죽 __ oj 

이 것 은 유력 한 기 능이 므로 UNIX 기 계 에 대 한 telnet 접 근을 제 한하도록 추가적 인 설정 
을 반드시 계획하여야 한다._ 


telnet 는 현재 모든 UNIX 들에 서 지 원된다. 기 정 으로 telnet 봉사는 능동이 다. Telnet 는 
inetd 아래의 처리로 동작한다. 

telnet 를 안전하게 하기 위하여서는 뿌리로서의 가입을 포함하여 telnet 대화에서 수행 
될 수 있는 관리 자기 능을 제 한하든가 또는 telnet 를 ssh 로 교체 하는것 이 다. ssh 는 같은 기 능 
을 제공하지만 통신을 암호화한다. 그러 나 telnet 에서는 사용자이름과 통과암호가 평문으 
로 전송된다. 

Inetd 

inetd 는 UNIX 체 계 에 서 봉사포구감시 를 책 임 진 상위 봉사기 이 다. 

또한 봉사요구가 수신될 때 해 당한 데 몬을 기 동시키 는 기 능도 담당한다. inetd 는 어 
떻 게 봉사요구를 조절 하겠는가를 결 정 하기 위하여 두개 의 파일 을 리용한다. 

Services : 매 포구와 결합된 봉사를 식 별한다. 
inetd.conf : 매 봉사와 결 합된 데 몬을 식 별 한다. 

봉사파일 

봉사파일은 제3장에서 구체 적 으로 설명하였으므로 여 기서 는 간단히 개 괄한다. 봉사 
파일 은 inetd 가 감시 하려 고 예 상한 매 포구를 식 별 하는 단일 렬입 구점 을 포함한다. telnet 에 
대 한 렬 입구점 의 실례 는 다음과 갈다. 


telnet 23 /tcp #Provide remote terminal access 

이것은 tcp 포구 23 으로 수신된 요구가 telnet 봉사에 접근하려고 시도한다는것을 의미한 


483 



다. 사용자가 telnet 에 접근하려고 한다는것을 inetd 가 확인하면 이 요구를 어떻게 조절하 
겠는가를 결정 하기 위하여 inetd.conf 파일 을 참조한다. 

inetd. conf 

inetdxonf 파일 에 는 어 느 데 몬이 주어 진 봉사요구를 기 동하는가를 나타내 는 렬 입구점 
들이 포함되여 있다. inetd.conf 파일의 실례는 다음과 같다. 

# These are standard services . 

# 

ftp stream tcp nowait root / usr / sbin/tcpd in.ftpd 一1 一 a 

telnet stream tcp nowait root / usr / sbin/tcpd in.telnetd 

gopher stream tcp nowait root / usr / sbin/tcpd gn 

#smtp stream tcp nowait root / usr / bin/smtpd smtpd 
#nntp stream tcp nowait root / usr / sbin/tcpd in.nntpd 

# 

# Shell , lohin , exec and talk are BSD protocols . 

# 

shell stream tcp nowait root / usr / sbin/tcpd in.rshd 

login stream tcp nowait root / usr / sbin/tcpd in.rlogind 

#exec stream tcp nowait root / usr / sbin/tcpd in . Rexecd 
talk dgram udp wait root / usr / sbin/tcpd in . Talkd 

ntalk dgram udp wait root / usr / sbin/tcpd in.ntalkd 

#dtalk stream tcp waut nobody / usr / sbin/tcpd in.dtalkd 
# 

# Pop and imap mail services et al 

# 

pop - 2 stream tcp nowait root / usr / sbin/tcpd ipop 2 d 

pop -3 stream tcp nowait root / usr / sbin/tcpd ipop 3 d 

imp stream tcp nowait root / usr / sbin/tcpd imapd 
# 

# Tftp service is provided primarily for booting . Most sites 

# run this only on machines acting as «boot servers .» Do not uncomment 

# this unless you * need * it . 

# 。 

# tftp dgram udp wait root / usr / sbin/tcpd in.tftpd 

# bootps dgram udp wait root / usr / sbin/tcpd bootpd 

# ^ 

# Finger , systat and netstat give out user information which may be 

# valuable to potential《system crackers .» Many sites choose to disable 

# some or all of these services to improve security 

# " 
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# cfinger is for GNU finger , which is currently not in use in RHS Linux 


finger stream tcp nowait root / usr / sbin/tcpd 

#cfinger stream tcp nowait guest / usr / sbin/tcpd 
#systat stream tcp nowait guest / usr / sbin/tcpd 

#netstat stream tcp nowait guest / usr / sbin/tcpd 

# ^ 


in.finger 
in.cfingerd 
/ bin/ps auwwx 
/ bin / netstat-finet 


# Time service is used for clock synchronization . 

# " 


time stream tcp nowait nobody / usr / sbin/tcpd in.timed 

time dgram udp wait nobody / usr / sbin/tcpd in.timed 

# ᄂ 

# Authentication 

# 

auth stream tcp nowait nobody / usr / sbin / in.identd in.identd 
-1 一 e - 0 


# 

# End of inetd . Conf 


매 렬입구점들은 왼쪽에서 오른쪽으로 가면서 다음의 정보들을 포함한다. 

• 봉사파일에서 식별한것과 갈은 봉사 
• 소케트류형 

• 전송규약 

• 초기화에서 리용한 기발 

• 이 데몬에 대한 특권을 제공하는 사용자구좌 

• 요구되는 스위치를 포함한 데몬의 이름 

inetd 가 봉사파일을 검사하여 telnet 로 봉사요구를 식별하면 inetd 는 inetconf 파일에 접 
근하여 다음의 렬을 참조한다. 


Telnet stream tcp nowait root 八 iser / sbin/tcpd in.telnetd 


이것은 inetd 가 / user / sbin 등록부에서 뿌리 준위 특권을 리 용한다는 스위치를 가지고 
in . telnetd 를 리용한 tcp 데 몬을 기 동시 킨 다는것 을 의 미한다. 


1 2 

뿌리준위특권 아래 에 서 동작하는 봉사들에 대 하여 서 는 매 우 주의하여 야 한다. 왜 냐하 
면 이러한 봉사들이 공격의 첫번째 목표이기때문이다. 뿌리준위봉사를 손상시킬수 
있는 공격자는 정보를 훔칠수 있으며 또한 앞으로의 접근을 위하여 뒤문을 설치할 
수 있다. 이러한 원인으로 하여 많은 봉사들이 guest 또는 nobody 로 기동하여 낮은 
준위의 접근만을 제공한다. 
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inetd 에 의하여 호출 된 봉사를 무효화 

UNIX 체 계를 안전하게 하는 가장 좋은 방법의 하나는 모든 불필요한 봉사를 정지시 
키 는것 이 다. 체 계 에서 기동하고 있는 봉사가 많으면 그만큼 공격 자들이 체 계접근을 위한 
약점을 찾기가 더 쉬워 진다. 


일러두기 

불필요한 봉사를 제거하는것은 또한 체 계성능을 높이는 단순한 방법 이 다. 봉사의 개 
수를 줄일수록 선택된 봉사를 위하여 배 당할수 있는 자원은 더 많아 진다. 


inetd 아래서 동작하는 봉사를 무효화시 키 기 위 하여서는 inetdxonf 파일에서 입 구점시 작 
위 치 에 단순히 #기 호를 추가한다. 실 례 로 체 계 에 대 한 telnet 접 근을 무효화시 키 려 면 입 구 
점 을 다음과 같이 변 경하면 된 다. 


#telnet stream tcp nowait root / user / sbin/tcpd in.telnetd 


정지시키 려는 모든 봉사들에 대 하여 입구점을 무효로 변경한 다음 inetd 처 리를 재 
기동한다. 이것은 봉사가 요구하는 프로쎄스식별자를 식별하고 그것을 재기동요구에 
보냄으로써 수행된다. inetd 에 대한 프로쎄스식별자를 찾기 위하여서는 다음과 같이 입 
력 한다. 


[ root@thor / etc ]# ps -axlgrep inetd 
151 ? SW 0:00 ( inetd ) 

7177 pO S 0:00 grep inetd 

[ root@thor / etc ]# kill -HUP 151 
[ root@thor / etc ]# 


첫번째 지 령의 ps - ax 부분은 동작중인 모든 프로쎄스를 출력한다는 의미 이 다. 출력 이 
한개 화면 범 위 를 벗 어 나므로 gred 지 령 을 리 용하여 추출(1， L 의 소문자)한다. Gred 는 ps _ 
ax 의 출력 결과를 려 과하여 열쇠단어 inetd 를 포함한 입 구점 들만이 현시 되 게 한다. 첫번째 
입구점(프로쎄스식별자 151) 은 UNIX 체계에서 동작하고 있는 실제의 inetd 프로세스이다. 
두번째 목록결과(프로쎄스식별자 7177) 는 현재 람색을 수행 하고 있는 gred 지 령 이 다. 

inetd 가 리 용하는 프로쎄 스식 별 자를 알아 냈 으므로 재 기 동하여 야 할 프로쎄 스를 지 적 
할수 있다. 이것은 두번째 지령에 의하여 수행된다. 
kill-HUP 151. 


죽 __°1 

UNIX 체계 에서는 이름달기규칙 이 엄격하므로 지 령을 정 확히 입 력시켜 야 한다. 


inetd 를 재 기 동하면 inetd.conf 파일 에 서 무효로 표시 한 봉사의 요구들은 무시 된 다. 
telnet 로 봉사포구를 지적한 요구를 발생시켜서 봉사가 무효로 되 였는가를 검사할수 있다. 
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실례로 


telnet thor 110 


은 POP3 봉사포구 (110) 와의 련결을 창조한다. 만일 POP3 봉사가 무효로 되여 있으면 즉시 
련결거절오유가 귀환된다. 

다른 봉사와의 작업 

모든 봉사가 다 inetd 에 의 하여 호출되 지 는 않는다. 실례 로 BIND, Sendmail, SAMBA 
는 매개가 다 공통적 으로 자기 자체의 프로쎄스로 동작한다. HTTP 도 inetd 에 의 하여 호출 
되 지 않고 자기 자체 의 프로쎄 스로 동작하는 또 다른 봉사이다. 

이것은 성능상측면과 관련된것 이 다. 즉 봉사는 inetd 에 의 하여 기동할 때까지 대기 하 
지 않는다면 요구에 더 빨리 응답할수 있다. 이러한 문제는 봉사부담이 매우 큰 체계에 
서 성능을 향상시 킬수 있는 중요한 요인이 다. 

독립적인 봉사의 무효화 

독립적인 봉사를 무효로 하기 위하여서는 체계기동시에 봉사의 설치가 금지되게 하 
여 야 한다. 많은 봉사들은 설 치전에 열쇠파일을 찾는다. 열쇠파일을 찾지 못하면 봉사는 
기동하지 못한다. 이 것은 오유를 막기 위하여 리용한다. 실례 로 BmD 는 기동시 파일 
/etc/named.boot 를 찾는다. 이 파일 들을 찾지 못하면 프로쎄 스는 기 동이 실패 한다. 

기 동시 에 프로쎄 스를 무효화하는데 리용할수 있는 방법 중의 하나는 프로쎄 스의 열쇠 
파일을 제거하든가 또는 이름을 변경하는것 이 다. 실례 로 다음의 지 령은 named.boot 파일의 
이 름을 named.boot.old 로 변경 한다. 


mv named.boot named.boot.old 


이것은 BmD 의 열쇠파일찾기를 불가능하게 하여 설치를 실패 로 끝나게 한다. 

또한 설 치스크립 트의 이 름을 변경하든가 또는 무효표식 을 하여 단독봉사를 무효화시 
킬수 있 다. 실례로 Linux 세계에서는 모든 프로쎄스설치 스크립트가 /ect/rc.d/init.d 아래에 
기억된다. 이 설치파일들에는 기동하는 프로쎄스의 이름들을 가전다. 실례로 Sendmail 설 
치 스크립 트는 Sendmail.init 이 다. 이 파일 을 Sendmail.init.old 로 이 름을 변경 하면 Sendmail 이 
체 계설치시 에 호출되 는것 을 막을수 있다. 

설치 파일을 변경하여 모든 불필요한 데 몬들을 기동하지 못하게 하였다면 체계 를 재 
기동하든가 또는 단순히 현재프로쎄 스를 정 지시켜서 봉사를 금지시 킬수 있다. 동작중인 
처리를 정지시키기 위하여서는 inetd 실례에서와 같이 ps 와 grep 지령을 리 용한다. 

그 다음 스위 치없이 kill 지 령을 실행시 킨다. 이 지 령의 출력은 다음과 같이 나타날것 
이다. 
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[ root@thor / root ]# ps—axlgrep sendmail 
187 ? S 0:00 ( sendmail ) 

258 pO S 0:00 grep sendmail 

[ root@thor / root ]# kill 187 
[ root@thor / root ]# ps 一 axlgrep sendmail 
263 pO S 0:00 grep sendmail 
[ root@thor / root ]# 


UNIX 체 계 에서 기동하는 봉사의 수를 제 한한 다음에 는 TCP 포장기 를 리용하여 봉사 
에 접근하는 사용자수를 제 한한다. 

TCP 포장기 

TCP 포장기 는 어 느 호스트가 inetd 에 의 하여 관리 되 는 봉사에 접 근할수 있는가를 지 
정할수 있 게 한다. 

대 부분의 UNIX 현재판들은 TCP 포장기 를 미 리 설 치하게 한다. 


주 의 

자기 이 름과는 달리 TCP 포장기는 전송규약으로서 TCP 나 UDP 를 요구하는 봉사들과 
함께 리용될 수 있 다. _ 


TCP 포장기 는 실제 의 봉사데 몬대 신에 inetd 가 TCP 포장기 데몬을 호출함으로써 능동으 
로 된다. telnet 실례를 다시 참고하자. 


telnet stream top nowait root / user / sbin/tcpd in.telnetd 


inetd 는 telnet 데 몬 ( in . telnetd ) 이 아니 라 실지 로 TCP 포장기 데 몬 ( tcpd ) 을 호출하고 있다. 
일 단 tcpd 가 호출되 면 봉사요구는 접 근규칙표와 비 교된 다. 련결 이 접 수할수 있 으면 
in.telnetd 데 몬으로 련결요구가 전달된다. 련결요구가 접 근조종에서 실패하면 련결은 거 절 
된 다. 

접 근조종은 두개 의 파일 을 리용하여 관리 된 다. 

Hosts.allow 어 느 체 계 가 어 떤 봉사에 접 근이 허 가되 였는가를 정 의 한다. 

Hostdeny 어 떤 봉사요구가 거 절 되 는가를 정 의 한다. 

원격체계 에 대 한 접근이 확인될 때 tcpd 는 먼저 hostallow 파일을 검사한다. 일치한 
입 구점 이 없으면 tcpd 는 hostdeny 파일을 검 사한다. 두 파일의 문법 은 다음과 갈다. 
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〈comma separated list of services>:<comma separated list of hosts > 

유효봉사는 오직 inetd 가 관리 하는 봉사들만이 다. 유효호스트들은 호스트이름，령 역， 
IP 주소로 목록화될수 있다. 실례로 다음의 출력을 보자. 


[ root@thor / etc ]# cat hosts.allow 

pop -3 imap : ALL 

ftp : . foobar.com 

telnet : 192.168.1 

finger : 192.168.1.25 

[ root@thor / etc ]# cat hosts , deny 

ANY:ANY 

Hosts . allow 파일은 체계에 대한 련결을 가진 모든 호스트들에 POP 3 과 IMAP 봉사에 
대 한 접 근을 허 가한다는것 을 나타낸 다. 그러 나 FTP 봉사는 foobar . com 령 역 안의 호스트들 
로 제 한된다. 또한 telnet 는 망부분주소가 192.168 丄0인 호스트들로 접근을 제 한한다. 그리 
고 finger 는 오직 IP 주소가 192.168.1.25 인 호스트만이 접근을 허 가한다. 

Hostdeny 입 구점 은 보안자세 《 허 가하지 않은것 은 거 절 한다.》를 정 의 한다. 봉사요구가 
수신되 고 hosts . allow 파일에서 일치한 입구점 을 찾지 못한 경우는 이 봉사가 UNIX 봉사기 에 
대 한 원격체계접근이 허용되지 않는다는것을 의미한다. 

TCP 포장기는 체계에 따라 접근을 구체적으로 조화시킬수 있는 아주 우수한 방법이 
다. 모든 UNIX 체계 가 방화벽뒤 에 있다고 하여도 보안강화를 위한 방어 대책 이 다 맞을수 
는 없 다. TCP 포장기 는 방화벽 을 은밀 히 통과하였 다고 하여 도 여 전히 UNIX 체 계접 근이 
거절된다는것을 담보한다. 


요 약 

이 장에서는 UNIX 체계(또는 Linux , FreeBSD 와 같이 UNIX 에 기초한 체계)를 어떻게 
보안하는가에 대하여 고찰하였다. 파일허가와 그것이 어떻게 파일에 대한 접근제한에 
리 용되 는가를 설 명 하였 다. 그리 고 UNIX 체 계 가 어 떻 게 인증을 처 리 하며 뿌리 사용자구좌 
를 엄격히 보안하는것이 왜 중요한가에 대하여 고찰하였다. 끝으로 IP 봉사와 이것에 대 
한 호스트접근을 어떻게 제한하는가에 대하여 고찰하였다. 

다음장에서는 취약성이 어떻게 리용되며 망을 보호하자면 어떻게 하여야 하는가를 
설 명 한다. 
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제 1 6장. 공격의 해부 


이 장에서는 공격자들이 망자원을 손상시키기 위하여 리용하는 공통적인 속임수들과 
도구들에 대하여 고찰한다. 이것은 망을 어떻게 공격하는가 하는데 있는것이 아니라 공 
격자들이 흔히 망의 취약성을 어떻게 찾아 내는가를 관리자로서 알아 내자는데 있다. 여 
기서는 공격징후를 어떻게 식별하고 그것을 막기 위하여서는 무엇을 할수 있는가에 중점 
을 두고 고찰한다. 

먼저 공격자가 망의 외부에서 침입을 시도한다고 가정하자. 이것은 공격자가 제한된 
정보를 가지고 어떤 단계들을 거처서 망에 접근하는가를 보기 위해서이다. 망에 이미 접 
근한 합법적인 사용자는 이러한 단계들을 대부분 뛰여 넘을것이다. 제1장에서 고찰한바 
와 같이 망공격의 압도적부분은 망내부로부터 일어 난다. 이것은 망자원을 보안하기 위 
하여 취한 예 방조치들이 망주위에 대하여서만 집중되지 말아야 한다는것을 의미한다. 

정보수집 

가령 어느 한 공격자가 TV 광고를 보고 자기와는 정견이 다른 어떤 대방의 망을 공 
격하려고 결심하였다고 하자. 문제는 공격을 어디서부터 시작하는가 하는것이다. 처음에 
공격 자는 대 방의 령 역이름조차 모르고 있다. 망을 공격 하기 위하여 그는 일부 조사작업 
들을 하여 야 한다. 

、"■지령 

공격 자가 처 음으로 할수 있는것 은 InterNIC 에 whois 로 문의 하는것 이 다. InterNIC 는 등 
록된 모든 령역이름을 공개적으로 접근할수 있는 자료기지에 보관하고 있다. 이 자료기 
지는 whois 도구프로그람을 리용하여 검색할수 있다. 공격 자는 령 역 이름이 등록되 여 있다 
면 기 관이 름으로 문의 하여 그것 을 찾아 낼수 있 다. 실례 로 CameronHunt.com 이 라는 기 관 
에 대 한 검색 으로 다음과 갈은 정보들을 엄을수 있다. 

[granite:] $ whois CameronHunt. Com 

Registrant: 

Cameron Hunt (CAMERONHUNT-DOM) 

392 E. 12300 So. Ste A. 

Draper, UT 84020 
US 

Domain Name : CAMERONHUNT. COM 

Administrative Contact, Technical Vontact, Billing Contact: 

Hunt, Cameron(CHL 150) cam@ cameronhunt. Com 
10312 Bay Club Ct. 
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Tampa , FL 33607 
(813)207-0363 


Record last updated on 05 - Apr -2000. 

Record expires on 19- Jan _2002. 

Record created on 19- Jan -2000. 

Database last updated on 12 - Feb - 2001 16:21:38 EST 

Domain servers in listed order : 


DNS . CAMERONHUNT . COM 64.36.56.58 

DNS . COPPERKNOB . COM 64.36.56.59 

이 단순한 지령으로 흥미 있는 일부 정보들을 얻게 된다. 

• 기관의령역이름 

• 기관의 위치 

• 기관의 관리상담자 

• 관리자의 전화번호와 팍스번호 

• 기관안에서 유효한 부분망주소 (64.36.56.0) 

령역이름 

기관의 령역이름은 앞으로의 정보수집에 리용되기때문에 중요하다. 이 기관과 관련 
된 호스트 또는 사용자는 역시 이 령역이름과 결합되여 있다. 이것은 공격자에게 앞으로 
의 문의 를 위하여 리용할수 있는 열 쇠단어 를 주게 된 다. 다음단계 에 서 공격 자는 추가적 
인 정보들을 얻기 위하여 여기서 찾은 령역이름을 리용한다. 

지리적인 위지 

공격자는 우의 정보로부터 이 기관이 어디에 위치하는가를 안다. 만일 공격자가 진 
짜 이 망에 손해를 주든가 또는 정보를 훔치 러고 한다면 림시직 업을 신청하든가 또는 지 
어 자기의 상담봉사를 제공하려고 시도한다. 공격자는 이 런 수법으로 망자원에 대한 일 
정한 준위 의 접 근을 승인 받아서 조사를 계 속하려 고 하든가 또는 가능하면 망에 뒤문접 
근을 설 치하려 고 한다. 이 를 위 하여 서 는 약간의 걸 음이 요구된 다. 망주위 를 통과하는 가 
장 손쉬 운 방법 은 그 내 부에 초청되 여 가는것 이 다. 

다음으로 공격자는 회사의 오물장을 뒤져서 구좌와 통과암호를 찾는다면 주소정보를 
리용하여 어디로 가야 하는가를 알수 있다. 공격자는 회사의 내부정보를 얻기 위하여 오 
물장을 살살이 뒤진다. 이렇게 하여 유효한 구좌이름，통과암호 지어는 재정정보까지 얻 
을수 있다. 몇년동안 많은 기관들이 재생을 위하여 종이오물을 분류하였기때문에 그러한 
정보를 얻는것은 단순하였다. 이러한 수법은 유용한 정보를 훨씬 더쉽게，더빨리 찾을수 
있게 한다. 
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관리상담자 

관리상담자는 대체로 기관망의 유지를 책임진 사람이다. 일부 경우에 관리상담자의 
아래에 있는 기술상담자도 목록화되여 있다. 이것은 공격자가 심리적이면서도 공학적인 
공격을 시도하려고 한다면 아주 중요한 정보일수 있다. 실례로 그는 어떤 말단사용자에 
게 전화를 걸 어 이 야기한다.《 안녕하십 니 까. 나는 좀전에 XX 부서 에 입 직한 사람입 니 다. 
Smith 가 봉사기에 등록된 당신의 구좌에 어떤 문제가 있기때문에 나에게 전화로 알아 보 
라고 부탁했습니 다. 당신의 통과암호가 무엇입 니까?》만일 공격 자가 이 런 방법으로 대 
화에서 성공하면 그는 적 어도 망자원에 대한 최소한의 접근을 제공하는 유효한 가입이름 
과 통과암호를 알게 될것 이 다. 이 최소한의 접근은 앞으로 완전한 관리자접근을 엄을수 
있는 밑천으로 된다. 


전화번호 

전화번호는 앞으로의 접근을 위하여서는 좀 생소한 정보로 생각되지만 실지로 효과 
적 으로 리용될수 있다. 대부분의 기 관들은 직접내 부통화 ( DID ) 라는 전화봉사를 리용한다. 
DID 는 어떤 사람이 교환수를 거치지 않고 직접 상대방과 전화할수 있게 한다. 이 번호는 
보통 블로크로 배당된다. 실례로 555-0500 에서 555-0699 까지는 어떤 기관에 배당된 DID 
번호 블로크이다. 그러 므로 공격 자는 그 기 관이 리용하는 매 전화번호를 쉽 게 찾아 낼수 
있 다. 

공격 자는 목록화된 상담자전화번호근방에서 전화를 걸 어 생 활적이 면서도 공학적 인 
공격을 시도할수 있는 직원을 찾을수 있다. 공격자는 또한 련속되는 전화번호를 검사하 
기 위 하여 전화번호발생 기 (War dialer ) 를 설 치 한다. 전화번호발생 기 는 어 떤 계 렬의 전화번 
호를 발생하는 단순한 쏘프트웨어 이 다. 전화번호발생 기 는 콤퓨터 가 어 느 전화번호에 응 
답했는가를 조사한다. 이러한 방법으로 목록을 조사하여 공격자는 망에 침투할수 있는 
전화번호를 알게 되며 나아가서는 유효구좌까지 얻을수 있다. 

유효한 부분망주소 

whois 지 령에 의 하여 얻어 진 정보들중에는 DNS . CAMERONHUNT.com 에 대 한 IP 주 
소입 구점 이 있다. 공격 자는 이 호스트가 방화벽 의 외 부에 있 는지 내 부에 있 는지 는 알 
수 없으나 자기 의 공격 을 전개할 때 리용할수 있는 하나의 유효한 부분망주소는 알게 
된 다. 

Nslookup 지령 

공격 자는 다음으로 nslookup 지 령 으로 다른 정 보들을 수집하려 고 한다. 공격 자가 망을 
공격하려 고 한다면 먼저 어 느 호스트를 공격하여 야 하는가를 알아야 한다. Nslookup 지 령 
은 DNS 봉사기 에 문의하여 호스트와 IP 주소정 보를 엄 는데 리용할수 있는 아주 좋은 도구 
프로그람이 다. 


492 



전화번호발생기로 무엇들 찾들수 있는가? 


기관들은 보통 자기의 전화가입장치에 대한 보안정형을 감시한디 실례로 
1998년 봄에 유명한 취 약성분석도구 SATAN 을 설계한 Peter Shipley 는 전화번 
호발생 기를 리용하여 일부 지 역안의 전화번호들을 체계적 으로 호출히 S 다. 그 
는 아무런 인증없 이 완전한 접 근을 허 용하는 봉사체 계 들을 찾아 냈디 그러한 
체계들은 다음과 같다. 


• 재정봉사기관을 보호하는 방화벽 

• 환자등록정 보를 보거 나 수정하는 병 원체 계 

• 소방차를 신속히 기동시키는 소방부서체계 


이것은 극단적인 실례이지만 대체로 기관들은 자기의 사용자들에? 모뎀소 
유를 허용한다. 사실상 이것은 직원들에게 자기 모뎀에 대 한 보안책 을 부여 
하는것과 갈다. 그러 나 많은 적원들은 그것을 담당할수 있는 자질이 부; 卜하다. 


공격 자는 nslookup 도구프로그람을 기동할 때 리 용할 DNS 에 대 하여 조사한다. 

[ granite :] $ nslookup 

Default Server : granite , sover . net 

Address : 209.198.87.33 


우의 결 과로부터 nslookup 이 DNS 에 문의 할 때 봉사기 granite . sover . net 를 리 용한다는것 
을 알수 있다. 공격자가 CAMERONHUNT . com 에 대한 정보를 찾으러고 하므로 기정 DNS 봉 
사기 를 whois 지 령 의 결 과에 서 보여 준 두 체 계 들중의 하나로 변경하여 야 한다. 

> server DNS . CAMERONHUNT . COM 
Default server : DNS . CAMERONHUNT . COM 
Address =64.36.56.58 


Nslookup 도구프로그람은 CameronHunt 의 DNS 봉사기들중의 하나로 DNS 를 지적 하고 
있다. 모든 문의는 granite 대신에 이 체계로 보내여 전다. 공격자가 처음으로 하려는것은 
지 역 전송이다. 지 역 전송은 다음의 결과에 서 보는바와 같이 단일지 령 으로 모든 를퓨터 들 
과 IP 주소정 보들을 수집한다. 


>ls -d CAMERONHUNT . COM > hosts . Lst 
[ DNS . CAMERONHUNT . COM ] 

Received 20 answers (0 records ). 

>exit 
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첫 번째 지령은 DNS 봉사기에 CAMERONHUNT.com 령 역의 유효한 모든 호스트정보를 
목록화하여 그것 을 hosts.lst 라는 파일 에 현시할것 을 요구한다. 수신된 20이 라는 값은 지 령 
이 성 과적 으로 실행되 였으며 DNS 에 등록된 유효한 모든 호스트정 보를 수집하였다는것 을 
의 미 한다. 물론 능동등록부에 지 역파일 을 보관하고 있는 Windows 2000 DNS 와 같은 새 
토운 DNS 체계들은 전송이 초기에 인증되지 않은 한 이러한 요구들을 거절한다. 보안전문 
가들이 평 가하고 많은 DNS 해 커 들에 의하여 실 증(지 어 Microsoft 에 서 까지 )된바와 같이 많 
은 망관리 자들은 이 단순한 보안절 차마저 도 지키지 않고 있다. 이 런 경 우에 공격 자는 요 
구한 모든 정 보들을 수집할수 있 다. 


일러두기 

DNS 체 계 가 named.boot 파일을 지 원한다면 xfers 지 령 을 리 용하여 이 름봉사기 에서 지 역 
전송을 수행할수 있는 사용자를 제한할수 있다. 이 지 령은 이름봉사기 에서 지 역전송 
을 실 행할수 있는 유일한 체 계 들인 IP 주소목록을 보관하고 있는 named.boot 파일 에 
따라 실행된다. 


공격 자는《 령역을 목록화할수 없다.》는 오유통보문을 받으면 이름봉사기 에서 지 역 
전송이 특정한 호스트들도 제 한되 여 있 다는것 을 알게 된다. 지 금부터 공격 자는 
CameronHunt 망내 의 부분망들을 알기 위 하여 mail , ftp , www 등과 같은 공통적 인 이 름들로 
체계적으로 시도하려고 할것이다. 공격자가 이러한 추측놀음과 같은 방법으로 매개 유효 
한 이 름들을 식 별 할수 있 다는 담보는 없 다. 그러 나 지 역전송이 성 공하여 아래 에 보여 준 
hostlst 파일을 얻었다면 사정은 달라 진다. 


[ DNS . CAMERONHUNT . COM ] 
$ORIGIN CAMERONHUNT . COM 


@ 

1 H IN SOA 

DNS 

postmaster ( 



5 

; serial 
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ID 

； expiry 
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이 파일을 통하여 매 우 가치 있는 정 보들을 얻 을수 있 다. 공격 자는 공격할수 있는 2 
개의 유효한 IP 부분망주소를 알게 된 다. 이때 206.79.230.0 부분망은 whois 지령이 다른 령 
역 ( exodus . net ) 에 있는 호스트로 목록화되였기때문에 목표가 아니다. 

공격 자는 또한 mail 이 MX 기록기의 입구점 이므로 령역의 우편체계라는것을 알게 된 
다. 그리 고 mail 이 이 령역의 유일한 우편체계이므로 만일 이 하나의 호스트의 기능을 제 
한하면 전체 령역에 대한 우편봉사를 중단시킬수 있다는것도 알게 된다. 다음으로 Web 
봉사기 가 FTP 봉사기 로 동작한다는것을 알게 된다. 공격 자는 Web 봉사기 와 Web 폐 지를 손 
상시 키 기 위하여 FTP 봉사를 리용할수 있다. 이것 은 공격 자에 게 중요한 정 보에 침투할수 
있는 가능성을 제공하여 준다. 

검색엔진 

검색 엔진은 기 관의 내부망에 대 한 추가적 인 정 보를 수집하는 아주 좋은 방법 이 다. 
자기 기 관의 령 역이름에 맞는 검색을 하여 보자. 기관이 얼마동안 직결되 여 있었다면 얻 
어 진 방대한 정보에 놀랄것 이 다. 여기 에는 우편통보문，뉴스그룹우편，내부 Web 봉사기 로 
부터의 폐지 들이 포함된다. 물론 이 것은 인터네 트에서 볼수 있는 경 우에 해 당된다. 

실례로 그림 16-1 을 자세히 보자. 령역 boft . org 는 모든 전자우편의 송수신을 담당한 
thor . boft . org 라는 우편중계 국을 가진다. 외부세계 와 관련하여서는 Thor 가 boft . org 의 유일한 
우편체 계이 다. 그러 나 이 우편의 머 리부를 자세 히 보면 Thor 뒤 에 mailgw . bofh . org 라는 또 
다른 은폐된 우편체계가 있다는것을 알수 있다. 

이 우편머 리부는 내 부망공격 에 리용될 수 있 는 일 부 정 보들을 제 공한다. 우편머 리 부 
에 있는 정보들은 다음과 갈다. 



그림 16-1. 전자우편머리부를 연시한 검색엔진의 결과 
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• 우편중계국 Thor 는 Sendmail 이 동작하는 UNIX 체계이다 ( Sendmail 의 판번호는 
8.7.1 이다.). 

• 우편중계국은 IP 부분망 201.15.48.0 우에 있다. 

• Thor 뒤에 mailgw . boft . org 라는 은페된 우편체계가 있 다. 

• Mailgw 호스트는 IP 부분망 201.15.50.0 우에 있다. 

• Mailgw 호스트는 Postal Union 의 교환기 쏘프트웨 어 가 동작하는 Windows NT 봉 
사기 이 다. 

• 내 부우편체 계 는 Microsoft 우편 이 다. 

단일검색엔진이 찾은 정보에는 불필요한것이 하나도 없다. 


일러두기 

이 문제 를 극복하는 방법 은 우편중계 국이 외 부로 나가는 모든 우편머 리부정보를 
떼버리는것 이 다. 이것은 모든우편이 중계국자체 에서 발송한것으로 보이도록 함으로 
써 내부망의 정보가 외부로 류출되는것을 막는다._ 


망의 조사 

공격 자가 목표에 대 한 일 반적 인 정 보들을 일 부 수집하였 으므로 그가 여 러 가지 조사 
를 통하여 망에서 현재 어떤 체계와 어떤 봉사가 기동하고 있는가를 알아 내는것은 시간 
문제 이 다. 공격 자가 림시직 업 또는 전화가입접 근과 갈은 다른 수단으로 방화벽 을 통과하 
였다면 이 미 그러한 정 보들을 알아 냈을것 이 다. 공격 자는 조사를 통하여 망의 경 로정 보 
지어 가능한 봉사목록까지 알수 있다. 

Traceroute 지령 

Traceroute 지 령 은 호스트사이 망경 로를 추적 하는데 리 용한다. 이 것은 두 호스트사이 
망토막들을 문서 화하려 는 경 우에 리용할수 있 다. Traceroute 의 결 과실 례 를 그림 16-2 에 
보여 주었다. 


주 의 

Windows 세 계 에서 는 8문자파일 이 름에 적 응시 키 기 위 하여 지 령 이 름을 tracer ! 系 바꾸 
었 다. 


그림 16-2 의 결과는 호스트이름과 원천과 목적지체계사이에 통과해야 하는 매 경로기 
의 IP 주소를 보여 준다. 앞의 3개 렬 은 앞의 망토막을 통과하는데 걸린 시 간을 나타낸 다. 

DNS 에 도달하기전에 powerinternet . net 우에서 몇개의 망토막은 통과하였 다. 또한 몇개 
의 도약들은 시 간초과되 였고 traceroute 문의 에 대 한 응답이 실패 하였다. 이것은 련결에서 
의 전송속도가 느린것으로 하여 또는 장치가 이 요구들을 려과하였기때문에 발생하였을 
수 있다. 
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그림 16-2. tracerout 지 령의 결과 

卜 아 가 보 자 . 공 격 자 에 게 는 여 전 히 honeypot 주 소 가 
1•는지 또는 Web 싸이트가 다른위 치 로 이 동되 였 는가를 확 












이러한 검사의 결과를 그림 16-3 에 보여 주었다. 그림에서 보면 추적은 마지막망에 
서 끝난다. 이 것은 honeypot 가 존재 하지 않는다는것 을 의 미 하며 따라서 공격 자는 공격 목 
표로 되 는것 은 오직 64.36.56.0 부분망이라는것 을 알게 된 다. 


주 의 

공격자가 CameronHunt.com 에 림시직업을 구하였다든가 또는 다른 수단으로 망에 접 
근할수 있다면 toceroute 지 령 을 통하여 더 많은 정보를 얻을수 있 다. 즉 내부 IP 부분 
망들을 문서화할수 있고 지어 경로기와 부분망련결정보까지 얻을수 있다. 호스트 몇 
개를 선택하고 조사함으로써 공격자는 완전한 망도표를 만들수 있다. 


호스트와 봉사의 주사 

호스트와 봉사의 주사는 어떤 체계 가 망에서 동작하고 매 체 계를 위하여 어 느 포구 
가 열려 있는가를 문서화할수 있게 한다. 이것은 어느 체계가 공격에 취약한가를 확인하 
는데 서 다음단계 에 해 당한다. 수행해 야 할 단계 들은 다음과 같다. 

• 망에 존재하는 체 계 들을 찾는다. 

• 매 체계에서 동작하는 봉사들을 찾는다. 

• 매 봉사가 어 떻게 리용할 때 취 약한가를 찾아 낸다. 

이 단계 들은 개 별적 으로 수행될수 있 다. 또는 이 모든 단계 를 단번에 수행할수 있는 
하나의 도구에 의하여 할수도 있다. 그러 나 정 확한 정 보를 얻 기 위 하여 서 는 한번 에 한 
단계씩 매 단계를 조사해 야 한다. 

Ping 주사 

Ping 스캐너는 부분망의 IP 주소에 대 한 ICMP 요구를 순차적 으로 보내고 응답을 대기 
한다. 응답이 주어 지면 스캐 너 는 이 주소에 능동호스트가 있다고 가정한다. 그 다음 스 
캐너는 응답한 체계 에 대 한 하나의 등록입구점 을 만들고 IP 주소를 호스트이름으로 변환 
하기 위하여 시도한다. 단순한 묶음파일 또는 스크립 트파일 이 여기 에 리용된다. 또한 그 
림 16-4 에 보여 준 WidPacket (이전에는 AG 그룹)의 iNetTools 와 같은 여러개의 그림도형도 
구프로그람들도 있다. 


일러두기 

iNetTools 의 다른 특징은 IP 주소를 DNS 호스트이름으로 변환할수는 없지만 대신 체 
계의 NetBIOS 이름의 찾기는 시도할수 있다는것 이 다. 가령 DNS 봉사기 에 자기의 입 
구점들을 가지지 않는 Windows 탁상체계들이 많은 망을 주사한다면 이것은 효과적 
이다. 
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그림 16-4. iNetTools 도구프로그람에 포함된 Ping 스캐 너 


포구주사 

포구스캐 너 를 리용하여 목적체 계우의 포구번 호들을 순차적 으로 조사함으로써 가동중인 
봉사를 알아 낼수 있 다. 고층건물을 오르내 리 면서 문을 걸지 않았는가를 알아 보기 위하여 문 
손잡이를 당겨 보는 도적을 생각해 보시오. 그러면 포구스캐너가 리해될것 이다. 포구스캐너는 
단순히 어떤 잘 알려 진 봉사가 듣고 있으면서 련결요구를 대기하고 있는가를 식별한다. 



그림 16-5. 체계의 포구주사 
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그림 16-5 는 iNe 付 ools 를 리용하여 체 계 64.36.56.59 를 주사한 결 과를 보여 준다. 보는 
바와 같이 iNetTools 는 이 체계에 열려 져있는 많은 포구들을 식별하였다. 중요한것은 
열린 포구들에 대 한 정 보가 체계의 기 능을 드러 내 놓는다는것 이 다. 그림 에서 는 FTP , 전자 
우편， DNS , Web 봉사기들이 동작하고 있다는것을 보여 주고 있다. 

포구주사가 정 확히 어떻 게 진행되는가를 그림 16-6 을 통하여 설명한다. 파케트 35를 
보면 포구스캐 너는 Thor 라는 기계와 TCP 로 3-파케 트신호교환을 진행한다. 포구스캐 너는 
목적 포구가 23( telnet ) 이 고 SYN =1 로 설정 한 파케 트를 전송한다. 파케 트 36에 서 Thor 는 
SYN -1, ACK =1 을 전송하여 응답한다. Thor 에 의 한 응답이 므로 포구스캐 너 는 telnet 포구를 
듣고 있는 봉사가 있다는것을 알게 된다. 파케트 37에서 스캐너는 ACK =1 을 전송하여 3-파 
케 트신호교환을 완성한다. 그다음 스캐 너 는 파케 트 38에 서 ACK =1, FIN =1 을 전송하여 대 화 
를 즉시 끝낸다. Thor 는 ACK =1 을 전송하여 이 요구에 응답한다. 

스캐 너 는 체계 와 완전한 TCP 3-파케 트신호교환을 완성 하였으므로 Thor 가 포구 23을 
듣고 있다는것을 알게 된다. 봉사가 정지된 경우에 포구주사가 어떻게 되는가를 보기 위 
하여 그림 16-6 을 다시 참고하자. 이때에는 파케트 55, 56, 57을 보면 알수 있다. 이 3개 
의 전송에 서 스캐 너 는 어 떤 봉사가 듣고 있는지 알기 위하여 포구 22, 26, 24로 Thor 를 
조사하고 있다. 파케트 58, 59, 60에서 Thor 는 ACK =1, RST =1 을 전송하여 응답한다. 이 런 
방법으로 목적지체계는 이 포구에 대하여 유효한 봉사가 없다는것을 원천에게 알려 준다. 
각이한 응답들을 정 렬하여 포구스캐 너 는 어 느 포구의 봉사가 기 동하고 있는가를 정 확히 
등록할수 있다. 



포구주사는 몇가지 부족점을 가지고 있다. 우선 련결시도가 목표로 한 체계 에 의하 
여 대부분 등록된다는것 이 다. 이것은 목표체계의 체계관리 자에게 포구주사가 있었다는것 
을 기 록한 정 보를 제 공하게 된 다. 다음으로 포구주사가 파케트러 과 또는 방화벽 에 의하 
여쉽게 려과된다는것이다. 이것은 포구스캐너가 SYN =1 인 초기련결파케트를 리용하기때 
문이다. 
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TCP 부분주사 

TCP 부분스캐 너 는 경 과기 록문제 를 피 하기 위 하여 개 발되 였 다. TCP 부분스캐 너 는 완전 
한 TCP 련결을 확립하려 고 하지 않는다. 부분스캐 너 는 초기 에 SYN =1 파케 트만 전송한다. 
목표체 계 가 SYN -1, ACK =1 로 응답하면 그 다음 부분스캐 너 는 포구가 듣고 있다는것 을 
알고 련결을 해제하기 위하여 즉시 RST =1 을 전송한다. 완전한 련결이 실지로 확립되지 
않았으므로 대부분(전부는 아니다.) 체계들은 이 주사를 등록하지 않는다. 그런데 TCP 부 
분주사도 여 전히 초기 에 SYN =1 인 파케 트를 리용하므로 완전스캐 너 와 같이 파케 트려과 
기 또는 방화벽 에 의하여 차단될 수 있 다. 

FIN 주사 

스캐 너 의 마지 막류형 은 FIN 스캐 너 이 다. FIN 스캐 너 는 련결 을 확립 하려 고 시 도할 때 
SYN =1 인 파케트를 전송하지 않는다. 대신에 FIN 스캐너는 ACK =1, FIN =1 인 파케트를 전 
송한다. 그림 16-6 에서 파케트 38을 다시 참고하면 이것 이 TCP 련결을 해제 하기 위하여 
리용되 는 기 발들이라는것 을 기 억할것 이 다. 사실 FIN 스캐 너 는 련 결 이 존재하지 않지 만 련 
결 을 해 제하려 고 한다고 목표체 계 에 파케 트를 전송하고 있 다. 


죽 __- 

목표체계가 어떻게 응답하는가가 실지 흥미 있다. 목표포구가 봉사듣기상태가 아니 
면 체계는 표준절차대로 ACK =1, RST =1 로 응답한다. 그러나 봉사가 듣고 있다면 목 
표체 계 는 요구를 단순히 무시 해 버 린 다. 이 것 은 목표체 계 가 해 제 할 련결 이 없 기 때 문 
이다. 이와 같이 어느 포구가 응답으로 유도되였고 어느 포구가 그렇지 않았는가를 
분석 함으로써 FIN 스캐 너는 목표체계 에서 어느 포구가 유효인가를 결정할수 있다. 


이러한 류형의 스캐너가 더 파괴적인 공격을 할수 있다는것은 정적파케트려과기뿐아 
니라 방화벽들도 이런 류형의 주사를 막지 못하기때문이다. 이것은 공격자가 방화벽의 
다른쪽에 있다고 하여도 체계를 식별할수 있는 가능성을 준다. 

nN 주사는 모든 류형의 체계에 적용할수 없다. 실례로 Microsoft 의 TCP 탄창은 포구 
가 능동이 라고 하여 도 ACK =1, RST =1 로 응답한다. 그러 므로 Microsoft 의 TCP 탄창은 
RFC 973 에 따르지 않는다. Microsoft 체계에서는 모든 포구가 능동이 아니 라는 결과가 초 
래되며 따라서 Windows 체계에서 능동포구를 식별 하는데 FIN 스캐너를 리 용할수 없다. 그 
러나 ACK =1, RST =1 은 여전히 체계에 공격자가 있으며 또한 ACK =1, RST =1 은 Microsoft 
조작체계에 의해서도 있을수 있다는것을 알리는것으로 된다. 

피동적감시 

공격 자는 망에 대 한 더 많은 정 보를 수집 하기 위하여 자료흐름을 감시 하려 고 시 도한 
다. 이러한 시도는 망에 어떤 분석기를 직접 설치함으로써 또는 더 위험하게는 내부체계 
를 식 별함으로써 수행 될 수 있다. 즉 공격 자는 자료흐름을 감시 하기 위하여 망분석 기 를 
망우에 설 치 하고 정 보를 수집할수 있다. 이 단락에 서는 내 부망에 대 한 정 보를 수집 하기 
위하여 공격 자들이 리용할수 있는 더 포착하기 어 려 운 방법 들중의 하나를 고찰한다. 
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실례 로 그림 16-7 에서 파케 트획득을 보자. 이것은 의뢰기가 Web 봉사기 에 보낸 표준 
HTTP 자료요구이다. 만일 공격자가 대방의 내부망사용자일부를 자기의 Web 봉사기(아마 
유혹적 인 전자우편을 리용하여)에 접 근시 킬수 있 다면 그는 풍부한 정 보를 수집할수 있는 
가능성을 가지게 된다. 왜냐하면 공격자가 파케트획득을 통하여 Web 의뢰기와 원격 Web 봉 
사기사이에 교환되는 다음의 정보들을 알수 있기때문이다. 
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그림 16-7. HTTP 자료요구 


• 선택한 언어는 영어이다 

• 체계는 800 X 600 해상도에서 동작하고 있다 

• 비 데오기판은 1600만개 의 색 을 지 원 한다 

• 조작체 계 는 Windows 95 이 다 

• 체 계 는 x 86 처 리 기 를 리 용한다 

• 열 람기 는 Microsoft Internet Explorer 3.0 이 다 

마지막 3개의 정보는 아주 흥미 있다. 공격자는 이 체계를 공격한다면 Windows 95 
와 Internet Explrer 3.0 이 동작하고 있는 x 86 에 적 용할수 있는 공격 방법 들에 초점 을 두어 야 
한다는것을 알게 된다. 

이 장뒤에서 고찰하겠지만 이러한 공격은 Internet Explorer 사용자가 Web 페지를 내리 
적재할 때 단순히 전개될수 있다. 

대 리방화벽 이 대 중화된 리유의 하나가 바로 조작체 계 와 열 람기 류형 에 관한 정 보를 
려과한다는데 있다. 이것은 공격자들을 난처한 처지에 빠뜨린다. 즉 공격은 목표체계에 
대한 정확한 약점을 쥐지 못한 상태에서 산만하게 전개된다. 


죽 __°1 

망에 대하여 로출된 정보가 적으면 적을수록 공격은 훨씬 더 어려워 진다. 
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취약성검사 

공격자가 망의 모든 체계에 대한 정보를 알고 매 체계에서 어떤 봉사가 동작하고 
있는가를 알면 그 다음은 어떤 취약성을 리용하여 공격하겠는가를 찾아 내는데로 방향 
을 돌릴것 이다. 이때 무모한 공격을 전개하여 무엇이 일어 나는가를 보는것은 모호한 
양상으로 진행된다. 그러나 위험한 공격자들은 이러한 무모한 공격을 하기전에 어떤 
취약성을 리용하여 공격하겠는가를 판단하는데 많은 품을 들인다. 왜냐하면 예상치 못 
했던 문제들로 하여 공격목적을 달성할수 없을뿐아니라 공격흔적이 기록될수 있기때문 
이다. 취 약성검사는 수동적으로 또는 어떤 쏘프트웨 어제품을 리용하여 자동적으로 진 
행할수도 있다. 

수동적인 취약성검사 

수동적 인 취 약성 검 사는 telnet 와 같은 도구로 원격봉사에 련결 하여 무엇 이 듣고 있는 
가를 조사함으로써 진행할수 있다. 대 부분의 봉사들은 원격 호스트가 자기 와 련결될 때 
자기자체를 식별할수 있는 정보들을 계공한다. 이러한 정보들이 장애회복을 위한 목적에 
서 리 용되 지 만 그것 이 공격 자들에 게 더 많은 정 보를 제 공하는데 로 리 용 당할수 있 다. 

실례로 그림 16-8 을 보자. 우리는 mailsys . foobar.org 에 SMTP 포구로 telnet 대화를 열었 
다. 이것은 체계지령상태에서 다음의 지령을 입력하여 수행된다. 
telnet mailsys . foobar.org 25 



그림 16-8. telnet 를 리용한 원격우편봉사기와의 련결 

마지 막에 있는 25는 telnet 가 기 정포구 23에 련결되 지 못했 으며 잘 알려 진 SMTP 포 
구 25에 련결되였다는것을 나타낸다. 여기서 알수 있는바와 같이 이 우편봉사기는 
Microsoft Exchange (따라서 조작체 계 는 Windows NT ) 이며 판본은 5.0 이 다. 1457.7 이 라는 조 
립번호는 설 치된 Exchange 봉사묶음이 없다는것 을 나타낸다. 

조립 은 초기의 5.0 판본이다. 이 체 계를 공격하려 면 Exchange 5.0 에 내재 하고 있는 취 
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취약성검사는 공격자가 적어도 목표체계의 봉사와 관련한 단서를 어느 정도는 알아야 한 
다. 목표체계에서 동작하는 봉사에 대한 정보는 취약성을 어떻게 리용하는가를 잘 모르 
는 공격자에게도 약간의 도움이 될수 있다. 

자동취약성 스카! 너 

자동취 약성스캐 너 는 공격 자가 수동적 으로 해 야 하는 모든 조사와 주사단계 들을 
자동적으로 수행하는 단순한 쏘프트웨어프로그람이다. 이 스캐너들은 단일체계에 대 
하여 또는 전체 IP 부분망에 대 하여 진행할수 있 다. 스캐 너 는 먼저 전개 되 여 잠재 적 인 
목표들을 식 별한다. 그 다음 포구주사를 진행 하고 취 약성 을 탐지 하기 위하여 모든 능 
동포구들을 조사한다. 그 다음 이 취 약성들을 사용자에게 다시 보고한다. 프로그람에 
따라서 취 약성 스캐 너 들은 자기 가 찾은 취 약성 을 실제 로 리용하는 도구까지 도 포함할 
수 있다. 

실례 로 그림 16-10 에 서 는 WebTrends 의 보안분석 기화면을 보여 주었 다. IP 부분망범 위 
를 정 의하면 이 스캐 너 는 그 부분망의 모든 능동체 계 들을 찾는다. 그 다음 포구주사를 
진행하고 존재하고 있는 모든 취약성들을 보고한다. 이 프로그람은 이씨네트탐지기까지 
포함되 여 있 어 국부부분망의 자료흐름을 감시할수도 있 다. 화면 에 서 알수 있는바와 같이 
보안분석기는 IP 주소가 192.168 丄200인 체계에서 포구 21과 25에 대한 잠재적인 일부 취 
약성들을 식별하였다. 



그림 16-10. WebTrend 의 보안분석기 
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취 약성 스캐 너 는 체 계 에 은밀 히 침 입 하여 문제를 식별 하는 신 비 로운 쏘프트웨 어는 아 
니다. 그것은 단순히 잠재적인 취약성을 식별하는 수동적인 처리들을 자동적으로 진행되 
게 한데 불과하다. 사실 수동적인 취약성검사를 진행하는 경험 있는 공격자 또는 해커들 
은 매 체계의 특성에 맞는 조사를 진행하여 잠재적인 문제들을 훨씬 더 많이 찾아 내고 
있 다. 취 약성 스캐 너 는 보안검 열을 진행 하는데 서 프로그람화하는것 보다는 좋지 못하다. 


경 고 

자동적 인 취 약성쏘프트웨 어 만을 기계적 으로 동작시켜 보안검 열을 하는 보안전문가 
들을 조심해 야 한다. 그들은 대부분 쏘프트웨 어묶음과 일부 여분의 값들로 만들어 
진 수준이 낮은 보고서를 리용하여 취 약성검사를 하고 있다. 자기들이 만들어 낸 보 
고서를 리해 하지도 못하는 그러 한 전문가들이 많다. 그러므로 보안검 열을 진행하기 
위하여 누구와 계약하기전에 그것에 대한 참고자료들을 요구해야 한다. 


실지로 원격체계에 공격을 직접 전개하지 않고 원격취약성스캐너로 모든 공격점들을 
식별할수는 없다. 실례로 원격체계가 견디는가를 보기 위하여 눈물방울공격을 실제로 전 
개하지 않고서는 그 체계가 눈물방울공격의 영향을 받겠는가 어떤가는 론의할수 없다. 
이것은 원격 취 약성스캐 너 가 어떤 특정 한 문제들은 식 별하지 못하기때 문이 다. 그러므로 
정상동작을 위한 체계의 정보들을 그대로 절대적인것으로 가정하지 말아야 한다. 

검사하려는 체계에서 어떤 쏘프트웨어가 동작하고 있을 때 또는 파일체계에 대한 완 
전접근이 가능할 때에는 공격을 전개하지 않고도 취약성스캐너로 일부 공격점들을 식별 
할수 있다. 그것은 국부체 계 에서 동작하는 쏘프트웨 어 프로그람들은 응용프로그람과 구동 
기 자료들을 검 사하고 목록화된 기지 값들과 비 교할수 있기때 문이 다. 실례로 검 사하려는 
NT 봉사기 에 서 동작하고 있는 취 약성 스캐 너 는 tcpip . sys 가 1/9/98 또는 그이 후로 날자정 보 
가 되였는가를 확인할수 있다. 이것은 눈물방울공격에 감염되지 않는 수정보충된 구동기 
인가를 확인할 때 사용한다. 

취 약성스캐 너 는 단순한 도구이 다. 즉 알려 진 모든 보안문제 들을 찾는 만능의 도구 
토는 되지 않는다. 취약성스캐너가 고도의 주의가 필요한 체계에 대하여 보안방향을 제 
시할수는 있지만 어떤 체계는 안전하고 어떤 체계는 불안전하다는데 대하여 최종적으로 
결론할수는 없다. 자기 가 관리하는 체 계를 완전히 리해 하고 있으며 보안에 대 한 실천지 
식을 소유하고 있는 경험 있는 관리자를 대신하는 그런 도구는 아마 없을것이다. 

공격의 개시 

공격 자가 일 단 체계의 약점 을 안 다음에는 공격을 전개한다. 이때 공격 자가 전개하는 
공격류형은 자기의 최종목적에 따라 결정된다. 즉 하나의 특정한 자원인가 아니면 망의 모 
든 체계 자원인가 또는 체계침투인가 아니면 봉사의 거부인가에 따라 좌우된다. 이러한 목 
적에 따라서 공격의 다음단계가 결정된다. 

여 기서 는 여 러 가지 각이한 약점 들에 대 하여 설명한다. 그러 나 알려 진 모든 약점 들 
을 목록화하여 설명 하지 는 않는다. 왜 냐하면 그러한 목록은 이 책 이 출판되 기전에 이 미 
벌써 낡아 졌기때문이다. 그보다도 전혀 뜻밖에 발견된 약점실례들을 통하여 목표체계 
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또는 망을 공격할 때 무엇이 가능하고 무엇이 불가능한가를 리해시키는데 있다. 또한 전 
개될수 있는 공격류형을 미리 알고 특별한 자원이 안정한가 어떤가를 미리 결정할수 있 
게 하는데 있다. 


죽 __°1 

이 책에서 이미 요점적으로 설명한 일부 약점들을 여기에서 구체적으로 설명한다. 


숨겨 진 구좌 

그자체로는 약점 이 아니지만 숨은 사용자구좌는 보안방책을 완전히 회 피 할수 있다. 
실례로 파케트려과로 망을 보호하는 주변경로기를 가지고 있다고 하자. 통과암호가 변경 
될수 없는 숨은 관리자준위구좌를 포함한 장치에 대하여 보안구멍을 상상해 보자. 좀 억 
지 같은 감은 들지 만 3 COM 에 서 있은 일 을 이 야기하여 보자. 

1998년봄에 3 COM 이 자기 의 CoreBuilder 안에 2층과 3층준위교환기 들과 숨은 관리 자구 
좌를 가진 SuperStack II 제 품계 렬 로 구성 하고 있 다는것 이 드러 났다. 이 장치 들의 대 부분 
에 리 용된 인증인 자들은 통과암호가 synnet 이 고 가입이 름은 debug 였다. 이 관리 자준위구 
좌는 변경되거나 제거될수 없으며 관리쏘프트웨어에서도 볼수 없다. 이것은 망하드웨어 
를 보안할수 있는 모든 권한들을 단계별로 설정할수 있다는것을 의미한다. 그러나 공격 
자에 게 는 뒤문으로 접 근할수 있 는 가능성 도 제 공한다. 

3 COM 은 방어 에서 구좌를 펌 웨어적 으로 숨긴 제 작자들중에서 첫번째 도 아니며 마지 
막도 아닐것이다. 수많은 다른 하드웨어제작자들이 초기의 동기요인으로 하여 같은 지원 
을 제 공하였을것 이 다. 이 러한 방법은 숨은 관리 자구좌를 포함시 킴 으로써 기술지 원담당자 
들이 관리자통과암호를 잊어버린 사용자들을 도와 줄수 있다는 리유로 하여 고착되였다. 
Cisco 와 같은 많은 제작자들이 이러한 문제를 조정하는 더 안전한 방법들을 받아 들였다. 
실례로 자기의 Cisco 경로기에 대한 통과암호를 잊었다면 회복할수는 있지만 그때에는 장 
치에 물리적으로 접근할 필요가 있으며 회복처리시에는 장치를 체계와 분리시켜야 한다. 
이것은 통과암호회복을 훨씬 더 안전하게 할수 있는 방법을 제공한다. 


일러두기 

제작자들이 어떤 일람표를 만들지 않는 한 어느 망장치에 숨은 관리자구좌가 있는가 
를 아는것은 불가능하다. 이것은 오직 통과암호인증에만 의거하지 말아야 하며 이 러 
한 장치들을 보안하기 위 하여서는 다른 추가적 인 판정 을 하여 야 한다는것 을 의미한 
다. 실례로 장치의 원격관리를 완전히 무사하■寒또는 어떤 IP 주소에 대하여서만 
관리상의 접근이 허용되도록 제한할수 있다._ 


중개자 

중개자라는 약점은 파케트분석기를 리용하는 공격자가 의뢰기와 봉사기사이에 있다 
는것을 의미한다.《중개자》라는 말을 들었을 때를 생각하여 보라. 대부분의 망통신이 
엄격한 형태의 인증을 리용하지 않는다는 사실을 리용한 중개자공격에는 많은 형태들이 
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있 다. 두 대 화상대 방들이 주기 적 으로 서 로 확인하지 않는 한 그들은 자기 가 의 도한 체 계 
가 아니 라 공격 자와 통신하게 될수도 있다. 

대화에 대 한 간섭 을 보통 대화가로채기 라고 한다. 공격 자는 두 체계사이 에 합법적 인 
통신대 화가 시 작되 면 이 자료흐름에 지 령 들을 주입 하여 상대 방통신체 계 인것 처 럼 위 장한 
다. 대 화가로채 기도구는 상당히 오래동안 NetWare 에서 리용되 였 다. 임 의의 사용자가 관 
리 자의 통신대화를 가로채 서 자기 의 가입식 별 자를 관리 자와 동등하게 하는 도구들도 있 
다. 1997년 봄에 류사한 도구가 Windows NT 환경 을 위 하여 C 2 MYAZZ 라는 이 름으로 발 
표되 였 다. 

C 2 MYAZZ 

C 2 MYAZZ 도구프로그람은 통신대화를 가로채 기 위하여 속임 수를 리용한 아주 전형 
적 인 실례 이 다. Windows 95와 Windows NT 가 초기 에 소개 되 였을 때 이 체 계 들은 대 화통 
보문블로크 ( SMB ) 체계와의 인증을 두가지 방법으로 실현하였다. 기정으로는 암호화된 통 
과암호를 리 용한 인증이 다. 이것은 Windows NT 령 역과의 인증을 위 하여 적 용한 방법 이 였 
다. 또한 SMB 봉사기 와의 뒤방향호환성 을 위하여 평 문통과암호를 리 용한 LanMan 인증도 포 
함하였 다. 

C 2 MYAZZ 는 기동하면 의뢰 기 가 Windows NT 봉사기 에 인증되 기 를 피동적 으로 기 다 
린 다. 가입 이 검 사될 때 C 2 MYAZZ 는 대 신 LanMan 인증이 리용된다는것 을 요구하는 하나 
의 파케트를 의뢰기 로 전송한다. 봉사기 가 이 요구를 보냈다고 믿고 있는 의뢰기는 증서를 
평 문으로 재 전송한다. 이 때 C 2 MYAZZ 는 그것 을 획 득하여 가입이 름과 통과암호를 현시 한다. 
C 2 MYAZZ 는 의뢰기의 대 화를 중단시 키지 않기 때 문에 사용자는 여 전히 가입하여 체 계 접근 
을 엄을수 있다. 



그림 16-11. 의뢰기가 평문통과암호를 리용하도록 하는 
C2MYAZZ 의 파케트획득 
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C2MYAZZ 의 파케트획득을 그림 16-11 에 보여 준다. 의뢰기는 TCP 3-파케트련결신 
호를 리 용하여 FirstFoo 라는 NT 령 역조종기와 련결을 확립 한다. 파케 트 6에서 의뢰기 는 령 
역에 인증하려고 한다는것을 봉사기에 알린다. 파케트 7은 봉사기가 이에 대하여 응답하 
려한다는것 을 보여 준다. C2MYAZZ 가 의뢰기 로 파케 트를 전송했 다는것을 명 심하여 야 한 
다. C2MYAZZ 가 리용한 원천 IP 주소는 192.168.1.1 로서 봉사기 Firsffoo 의 IP 주소이 다. 

또한 모든 응답과 순서번호를 위조하여 의뢰기 가 이 파케 트를 봉사기 FirstFoo 로부터 
수신되였다고 가정하게 한다. 아래창은 의뢰기가 평문인증을 리용하도록 요구한 
C2MYAZZ 에 의하여 전송된 자료들을 보여 준다. 

파케트 8에서 령역조종기 FirstFoo 는 암호화가 지원된다는 응답을 의뢰기에게 보내지 
만 이 시 점 에서는 너무나 때 늦은 응답이 다. 의뢰기는 이미 C2MYAZZ 로부터 위 장된 파 
케 트를 받았으므로 FirstFoo 가 보낸 실제 의 전송을 중복으로 인정 하고 정 보를 페기 한다. 
그 다음 의뢰기 는 평문인증을 위하여 가입이 름과 통과암호를 둘 다 평문으로 전송하기때 
문에 C2MYAZZ 도구프로그람은 그 정 보를 그대 로 리용할수 있 다. 


둑 __- 

이 약점에 대하여 흥미 있는것은 봉사기와 의뢰기가 둘다 수정보충된다면 련결을 
가로챌수 없다는것이다. 의뢰기는 봉사기에 인증되여 망자원접근을 허가 받는다. 
Microsoft 는 대화가로채기와 같은 이러한 약점을 극복하기 위하여 두개의 수정보충 
프로그람을 개 발하였다. 즉 하나는 모든 의뢰기들에 적재되 고 다른 하나는 봉사기 에 
적재된다. 만일 의 뢰기수정보충프로그람을 적재하면 의뢰기 는 평문으로 가입정 보를 
보내 기 를 거 절 한다. 봉사기 수정 보충프로그람을 적 재하면 봉사기 는 평문가입 을 접 수 
하지 않는다. 그러므로 의뢰기가 평문인증정보를 전송하여도 봉사기는 접수하지 않 
는다. 그러 나 매 체계들을 다 수정보충하지 않으면 C2MYAZZ 에 의하여 의뢰기가 
령 역 에 인증되 지 못하여 봉사거 부가 발생할수도 있 다. 


C2MYAZZ 가 이처럼 봉사거부를 일으키는 효과적인 도구로 리용되는 리유는 의뢰기 
도 봉사기도 다 원격체 계를 인증하기 위한 그 어떤 처 리도 하지 않은데 있다. 의뢰기 가 
속임파케 트를 합법 적 인것 으로 접 수하기때 문에 C2MYAZZ 는 자유롭게 대 화를 가로챌 수 
있다. 이러한 문제에 대응하여 Microsoft 는 평문인증정보의 리용을 금지시키는 수정보충 
프로그람을 리용하였다. 그런데 이러한 수정보충프로그람이 인증정보를 포함하지 않기때 
문에 SMB 대 화는 여 전히 가로채 기공격 에 취 약하다. 이 미 설 명한바와 같이 이 공격 은 사 
용자가 관리 자의 대 화를 가로채 서 자기 의 가입식 별자를 관리 자와 동등하게 하는 이 전 
NetWare 공격의 변종이 다. 이것은 Novell 의 파케트서명 개 발을 촉진시 켰다. 

파케 트서 명 은 NetWare 봉사기 와 의 뢰 기 가 통신대 화과정 에 상대 방식 별 을 확인할수 있 
게 하는 인증처 리 이다. 봉사기 가 의뢰기 로부터 자료파케트를 받을 때 전송원천이 합법적 
이 라는것 을 확인 하기 위 하여 서 명 정 보를 참고한다. 파케 트서 명 은 기 정 으로는 다른 체 계 
에 의하여 요구된다는 신호가 없는 한 의뢰기와 봉사기가 그것을 리용할수 없게 구성되 
여 있다. 이것은 인증방법으로서의 파케트서명이 기정으로는 리용되지 않는다는것을 의 
미 한다. 지 어 파케 트서 명 이 요구되 도록 의 뢰 기 설정 을 변경 한다고 하여 도 C2MYAZZ 와 류 
사한 도구프로그람을 리용하여 간단히 파케 트서 명 이 지 원되 지 않는것 처 럼 위 조하여 의 뢰 
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기에 보낼수 있다. 


일러두기 

파케 트서 명 이 리 용된다는것 을 보증하는 유일 한 방법 은 고급설정 으로 파케 트표식 을 
설 정 하는것 이다. 이것은 의뢰 기 가 파케 트서 명을 지원 하지 않는 봉사기 와 대 화하는것 
을 금지시킨다. 


완충기넘침 

프로그람작성자가 응용프로그람을 작성 할 때 사용자 또는 다른 응용프로그람으로부 
터 입력되는 자료를 접수하기 위하여 완충기라고 하는 기억공간을 설정하여야 한다. 실 
례 로 가입 응용프로그람은 사용자들의 가입 이 름과 통과암호를 입 력 할수 있도록 기 억 공간 
을 할당하게 한다. 이 정보를 위한 충분한 기억공간이 배치되도록 하기 위하여서는 프로 
그람작성자가 매 변수에 얼마만한 자료가 보관되는가에 대하여 가정을 해 야 한다. 실례 
로 프로그람작성 자는 사용자가 16 문자이 상의 가입이 름과 10 문자이상의 통과암호를 입 력 
할 필요가 없다고 가정한다. 완충기넘 침은 프로그람작성 자가 예견했던 이상으로 많은 자 
료가 프로쎄 스에 수신되 여 있을 때 에 발생한다. 즉 프로쎄 스가 방대한 량의 자료를 취 급 
해야 할 때 어떤 돌발적인 문제가 있어서는 안된다. 

완충기넘침의 실례 

완충기넘 침이 어떻게 악용되는가 하는 실례를 보자. 그림 16-8 에서 보여 준 telnet 를 
리 용한 Exchange 봉사기 와의 대 화설 정 을 다시 고찰하자. 만일 www.rootshell.com 에 가서 
Exchange 에 대 하여 이 미 알려 진 취 약성 을 조사한다면 Exchange 5.0 이 완충기 넘 침 공격 의 
영향을 쉽게 받는다는것을 알수 있다. 

실례 로 사용자이 름과 통과암호, 결합방법 으로 구성된 LDAP 결 합요구를 리용할 때 
256 문자이상으로 결합방법 을 설정하면 LDAP 봉사는 기 동을 멈추게 될것 이 며 해커 가 조 
작한 코드를 실행할수 있다. 이것은 LDAP 련결기를 프로그람화할 때 프로그람작성 자결합 
방법 을 조절하는데 254 문자이면 충분하다고 가정 하고 기 억 공간을 할당하였 기때 문이 다. 
254 문자이상 되는 결합방법도 존재한다는것을 가정하는것이 안전한것 갈지만 문제는 255 
문자로 된 결합방법을 수신하면 응용프로그람이 무엇을 해 야 하는가에 대하여 프로그람 
작성 자가 지 적하지 않은데 있 다. 

자료를 자르던가 또는 무조건 거부할 대신에 LDAP 련결기는 여전히 254 문자만을 조 
절할수 있는 기 억 공간으로 이 긴 주소를 복사하려 고 시 도한다. 결과 254 문자이후의 문자 
들은 다른 기억구역으로 겹쳐쓰기되든가 또는 처리를 담당한 핵심 OS 부분에 씌여 지게 
된다. 다행 히 이것 이 봉사기 가 기동을 멈추는것 으로 끝나든가 그렇지 않은 경우에는 나 
머지 문자들이 조작체계의 명령으로 해석되여 이 봉사에 보증된 허가준위로 실행될것 이 
다. 이것 이 바로 뿌리 또는 관리 자로서 동작하는 봉사가 위 험하게 되 는 리유이다. 공격 자 
가 완충기넘 침을 일으킬수 있다면 그는 자기 가 목표체 계 에 대 하여 바라던 어떤 지 령 들을 
실행시 킬수 있다. 
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다른 완충기넘침공격 

완충기넘침은 봉사의 거부를 일으키든가 또는 원격체계에 어떤 지령을 실행시키는데 
서 가장 많이 적용되고 있다. 체계를 공격하기 위하여 프로쎄스에 많은 정보를 보낸다는 
데 기초한 공격수법들에는 여 러가지가 있다. 지난 몇 년동안 많이 적용된 일부 완충기넘 
침공격들은 다음과 갈다. 

• 초과크기의 ICMP 요구파케트를 보낸다(죽음의 Ping ). 

• 4048 byte 의 URL 요구를 IIS 3.0 봉사기 에 보낸다. 

• Netscape 와 Microsoft 우편의 뢰 기 에 256문자파일 이 름을 부속물로 가지 는 전 자우 
편통보문을 보낸다. 

• 자료크기가 정확히 정의되지 않은 SMB 가입요구를 NT 봉사기에 보낸다. 

• Pine 사용자에게 256문자를 초과하는 주소로부터 오는 전자우편을 보낸다. 

• WinGate 의 POP 3 포구에 련결 하여 256문자로 된 사용자이 름을 입 력 한다. 

여 기서 알수 있는바와 같이 완충기넘 침은 응용프로그람의 여 러 가지 측면들에서 있게 
되며 매 조작체 계 에 다 영 향을 미 친다. 응용프로그람이 완충기넘 침의 영 향을 쉽 게 받는 
가 하는것을 확실하게 알아 내는 유일한 방법은 원천코드를 다시 검사하는것이다. 


죽 __- 

완충기넘 침 문제 를 꼬리 부와 오유로부터 찾아 낼 수는 있으나 여 하튼 완충기넘 침 으로 
부터 생 기는 오유는 쏘프트웨어 가 안전하지 못하다는것 을 의 미한다. 그렇 다고 충분 
한 문자수를 접수할수 있게 기억공간을 랑비할수도 없다. 프로그람이 완충기넘침의 
영 향을 받지 않는다는것 을 확인하는 유일 하게 확고한 방법 은 초기원천코드를 다시 
조사하는것 이 다. 


SYN 공격 

SYN 공격 은 봉사기 가 내 부에 로의 TCP 련결을 하지 못하도록 TCP 3-파케트련결 신호 
교환시 에 리용되 는 작은 완충기공간을 악용한다. 봉사기 는 첫 번째 SYN =1 파케 트를 받을 
때 이 련결요구를《프로쎄스안에서 관리하는》작은 대기렬에 보관한다. 대화가 곧 확립 
될 예정 이므로 이 대 기렬은 작으며 상대적 으로 적은 수의 련결요구들만을 보관할수 있다. 
이것은 대화가 곧 다른 대기렬로 이동하여 처리되므로 더 많은 련결요구들을 위한 공간 
이 마련되 도록 기 억 최 적 화를 위하여 실현된것 이 다. 

SYN 공격은 이 작은 대 기렬에서 련결요구가 초과되도록 한다. 목적체계 가 응답을 발 
송할 때 공격체계는 그것에 아무런 응답을 하지 않는다. 결과 련결요구는 시간이 만기될 
때까지 상대적으로 작은 대기렬에 남아 있다가 그후에 제거된다. 이 대기렬을 가짜의 련 
결 요구들로 채 움으로써 공격 체 계 는 목적 체 계 가 합법 적 인 련결 요구들을 접 수하지 못하도 
록 차단시 킬수 있다. 이와 같이 SYN 공격은 봉사거부를 일으킨다. 

2개 의 기 억 공간을 리용하는것 은 TCP 의 표준기 능이 므로 이 문제 를 실지 로 극복하는 
방법은 없다. 그러 나 2가지 방법 이 있다. 
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• 프로쎄스내부에서 관리하는 대기렬의 크기를 증가시킨다. 

• 처 리된 입 구점들이 프로쎄 스내부에서 관리 하는 대기 렬에서 제거되 기전까지의 
시간크기를 줄인다. 

대기렬의 크기를 증가시켜 추가적인 기억공간을 제공하면 다른 련결요구들이 보관될 
수는 있지만 100 MB 또는 1 GB 망에 련결한 체계가 SYN 공격에 취약하지 않다는것을 보증 
하기 위 하여서 는 매 우 방대한 크기 의 완충기 가 필요하게 된다. 좀 느린 망에 련결된 체 
계에서도 이러한 기억리용은 완전한 랑비이다. 련결요구가 제거되기전까지의 시간을 줄 
이 는데 관하여 서 는 너 무 느리 게 계 수값을 설 정하면 신속한 체 계 들을 방해할것 이 고 또는 
반대 로 설 정 하면 느린 망에 련결 된 체 계 들의 련결 을 거 절 할것 이 다. 

그러므로 합리적인 봉사동작을 담보하기 위하여서는 SYN 공격에 피해를 받지 않도록 
완충기의 기 억할당을 조정 하여 야 한다. 완충기 가 기 억을 랑비 하면서 크게 설정되지 않도 
륵 하면서 도 합리 적 인 개 수만한 동시 련결요구들은 조정할수 있게 프로쎄 스내 부에 서 관리 
하는 대 기렬의 크기 를 증가시켜 야 한다. 또한 제거시 간을 처 리된 입 구점들을 제거할수 
있게 충분히 크게 하면서 도 합법 적 인 체 계의 련결확립 을 방해하지 않도록 적 당히 설정해 
야 한다. 

유감스럽게도 대부분조작체계들에서는 사용자가 이러한 값을 조정할수 없게 되여 있 
다. 그러므로 적당한 설정을 선정하기 위하여서는 조작체계제작자들에 의존하여야 한다. 

눈물방울공격 

눈물방울공격 이 어떻 게 체계 에 가해 지는가를 리해 하기 위 하여서는 먼저 IP 머 리부안 
에 있는 토막화변위부마당과 길이마당을 리해하여야 한다. 토막화변위부마당은 대체로 
경 로기 에 의하여 리 용된 다. 경 로기 가 수신한 파케 트가 송신해 야 할 다음토막에 서 의 최 대 
전송단위 ( MTU ) 보다 큰 경 우에 는 중계 하기전에 토막화를 진행하여 야 한다. 토막화변위 부 
마당은 길 이마당과 함께 리용되 여 수신체 계 가 데타그람을 정 확한 순서 대 로 재조립할수 
있게 한다. 토막화변위부값이 0인 파케트를 수신한 체계는 이 파케트가 토막화된 정보의 
첫 번째 이든가 또는 토막화가 리용되 지 않은것 으로 가정한다. 

토막화가 진행되였다면 수신체계는 자료가 재구성될 때 어느 파케트에 놓였는가를 
결정 하기 위하여 변위부를 리용한다. 설명 을 위하여 아이 들의 놀이감으로 리용하는 번 
호가 새겨 진 블로크들을 생 각하자. 아이 들은 번 호순서 에 따라서 블로크들을 놓고 집， 
승용차，비행기를 만든다. 사실 아이들은 자기들이 무엇을 만들려고 하는가에 대해서는 
알 필 요가 없 다. 단순히 놀이감을 규정 된 순서 대 로 조립하면 집 이 라든가 승용차가 만 
들어 진다. 

IP 토막화변위부도 같은 방식 으로 처 리된다. 변위부는 유효자료가 데타그람의 시 작에 
서부터 얼마나 떨어 졌는가를 나타낸다. 만일 모든 파케트가 정확히 도착하면 데타그람 
이 정 확한 순서 대 로 재조립 될 수 있다. 길 이마당은 자료가 중복되 지 않고 정 확히 토막화 
되 였 다는것 을 확인하기 위한 타당성검 사에 리 용된다. 실례 로 데타그람안에 토막 1과 3은 
배치하였으나 토막 2가 너무 커서 토막 3과 일부가 겹치게 되는 경우 어떻게 하여야 하 
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는가? 이때 체계가 그것을 맞출수 있는가를 보기 위하여서는 데타그람의 재편성을 시도 
한다. 만일 맞출수 없다면 수신체계는 자료가 완전하지 못하다는 오유통보문을 내보낸다. 
대부분의 IP 탄창은 중복 또는 자기 토막보다 훨씬 큰 유효자료와 관련한 상세한 처리기 
능을 제공한다. 

눈물방울공격의 개시 

눈물방울공격 은 보통크기 의 유효자료와 토막화변위부가 0인 일 반자료파케 트를 보내 
는것 으로부터 시 작한다. 초기 의 자료파케 트로부터 는 눈물방울공격 과 일 반자료전송을 구 
별 할수 없 다. 그러 나 부분순서 화된 다음파케 트들에서 는 토막화변위 부와 길 이 마당들이 수 
정되여 있다. 뒤이어 일어 나는 이러한 자료흐름은 목표체계가 기동을 정지하게 만든다. 

자료의 두번째 파케트가 수신될 때 토막변위부는 데타그람안에서 이 정보가 어디에 
놓이는가를 알기 위하여 참고된다. 눈물방울공격에서는 두번째 파케트의 변위부로 이 정 
보가 첫번째 토막의 어딘가 놓인다고 요구한다. 수신체계는 유효마당이 검사될 때 이 자 
료가 첫번째 토막의 끝을 초과하리만큼 그렇게 크지 않다는것을 알게 된다. 다시 말하여 
이 두번째 토막은 첫번째 토막과 중복되지 않았다. 즉 실지로는 자기의 토막내에 완전히 
포함되여 있다. 이러한 상황히 누구도 예견할수 없는 오유조건이며 그것을 조정하는 처리 
부분도 없기 때문에 이 정 보는 완충기 넘침을 일 으키 고 수신체 계 의 기 동을 정 지 시 킨다. 일 부 
조작체 계들에서 는 하나의 변형된 파케 트에 의해서도 정지된 다. 다른 체 계들에서 는 여러 개 
의 변형된 파케트들이 수신되는 경우에 체계정지가 일어 난다. 


스머프 


이 공격 이 전개 된 초기프로그람에 붙여 진 스머 프 ( Smurf ) 는 IP 속임 과 ICMP 응답의 결 
합을 리용하여 호스트에 자료흐름을 포화시 켜 서 봉사거 부가 일 어 나도록 한다. 공격 은 다 
음과 같이 진행된다. 공격자는 먼저 많은 호스트들이 포함되여 있으면서 큰 대역너비를 
가진 인 터네 트련 결 을 가지 고 있 는 망의 방송주소로 속임 Ping 파케 트 ( echo 요구)를 보낸 다. 
이러한 망은 바운스싸이트라고 한다. 속임 Ping 파케트는 공격자가 공격하려고 하는 체계 
의 원천주소를 가진다. 

공격의 전제는 경로기가 IP 방송주소(실례로 206.121.73.255) 로 보낸 파케트를 수신하 
였을 때 이것을 망방송으로 인식 하고 이써네 트방송주소 FF : FF : FF : FF : FF : FF 로 넘 긴다는것 
이 다. 그리하여 인 터네 트로부터 이 파케 트를 수신한 다른 경 로기 들은 자기 의 국부토막에 
있는 모든 호스트들에 이것을 다시 전송한다. 

복자들은 다음에 무엇 이 일 어 난다는것 을 리해하였 으리 라고 생 각한다. 토막우에 있 
는 모든 호스트들은 공격 자가 공격하려는 체계 에 echo 응답으로 반응한다. 만일 큰 이씨 
네트토막인 경우 500개 이상의 호스트들이 자기들이 수신한 매 ehco 요구에 응답할것이다. 

대부분의 체 계들은 ICMP 자료흐름을 가능한 신속히 조종하기때 문에 공격 자가 목표로 
한 체계는 곧 echo 응답으로 포화된다. 이것은 체계가 그 어떤 다른 자료흐름도 받아 블 
일 수 없 게 방해하여 결 국은 봉사거 부를 일 으키 게 한다. 

이 것 은 목표체 계 뿐 아니 라 기 관의 인 터 네 트련결 에 도 영 향을 미 친 다. 바운스싸이 트는 
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T 3 련결 (45 Mbps ) 을 가지 지 만 목표체 계 의 기 관은 임 대 선 (56 Kbps ) 만을 가지 므로 기 관으로 
들어 오고 나가는 모든 통신 이 마비되 여 거 의 정 지 상태 에 빠진 다. 

그러면 이러한류형의 공격을 어떻게 막을수 있는가? 원천싸이트와 바운스싸이트， 
목표싸이트들에 스머 프공격 의 영 향을 제 한시키 도록 여 러 가지 대 책 들을 취 하여 야 한다. 

원천에서 스머프자단 

스머 프는 공격 자가 속임원천주소로 echo 요구를 전송한다는데 기 초한다. 자기의 원천 
에 서 일 어 나는 스머 프공격 은 경 로기 접 근목록을 리용하여 모든 자료흐름이 정 확히 자기 
의 원천주소를 가지도록 함으로써 막을수 있다. 이것은 속임파케 트가 발생지 로부터 바운 
스싸이트로 전달되지 못하도록 차단한다. 

바운스싸이토에 서 스머 프차단 

바운스싸이트에 서 스머 프를 막는데는 두가지 수법 이 적 용된 다. 하나는 단순히 내 부 
에로의 echo 요구를 모두 차단하는것이다. 즉 이러한 파케트들이 망내부에 도달하지 못하 
도록 차단한다. 

다른 수법은 경로기가 망방송주소로 예정된 자료흐름에 대하여 국부망방송주소로 변 
환하지 않도록 하는것이다. 이러한 변환을 금지시킴으로써 echo 요구가 국부망으로 송신 
되지 못하도록 한다. 

Cisco 경 로기 가 망방송주소를 국부망방송주소로 변환하는것 을 차단하기 위 하여 서 는 
망대 면부의 구성 방식 을 다음의 지 령 으로 변경하면 된 다. 

No ip directed-broadcast 


주 의 

변경은 매 경로기의 모든 망대면부에 대하여 진행하여야 한다. 이 지령을 주변경로 
기 에 대 하여 서 만 진행하면 효과적 이 라고 볼수 없 다. 


목표싸이트에서 스머 프차단 

인 터네 트봉사제 공자 ( ISP ) 가 도와 나서지 않는다면 WAN 련결 우에 서의 스머 프공격 을 
차단하기 위하여 할수 있는 일은 극히 적다. 망주변에서 이러한 자료흐름을 막을수 있다 
고 하여도 모든 WAN 대역너 비를 차지한 이 공격 을 막는다는것을 너무 때 늦은 시도라고 
해야 할것이다. 

그러 나 망주변에서 차단하여 스머 프의 영 향을 최 소화할수는 있다. 상태 를 유지할수 
있는 일부 방화벽 들 또는 동적파케 트려 과기 를 리 용하여 망으로 寒어 오는 이 파케 트들을 
차단할수 있다. 상태표가 공격대화가 국부망에서 일어 나지 않는다(처음의 echo 요구를 보 
여 주는 입 구점 이 상태표에 없 다.)는것 을 알려 줄수 있기때 문에 이 공격 은 다른 속임공 
격과 같이 조정될수 있으며 즉시에 제거될수 있다. 
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힘내기공격 


힘내기공격이란 가능한 모든 값들로 시도하여 체계에 인증되려고 할 때 또는 암호문 
을 만들 때 리용한 암호열쇠를 풀기 위하여 진행하는 공격류형을 말한다. 실례로 공격자 
는 가능한 통과암호들로 목록화된 단어사전을 리용하여 체계에 관리자로 가입하려고 시 
도한다. 여기에는 그 어떤 정확성도 없다. 즉 공격자는 단순히 가능한 통과암호를 찾아 
내기 위하여 매 가능한 단어 또는 문구들로 시도할뿐이다. 

힘내기공격에서 가장 보편적으로 쓰이는 방법들중의 하나가 통과암호해득기를 리용 
한 방법 이 다. 통과암호해 득기 는 보안쏘프트웨어 기술의 LOphtCrack (후에 @stake 로 된 
LOpht 에 의하여 개 발)와 같이 이 프로그람이 얼마나 효과적 인가를 보여 주는 그런 프로 
그람은 아니 다. LOphtCrack 는 사용자통과암호를 알아 내 기 위 하여 사전파일과 힘 내 기 추측 
공격을 리용한다. 그림 16-12 에 여 러개의 사용자통과암호들을 풀기 위하여 시도한 
LOphtCrack 의 결과화면을 보여 준다. 

특별한 대화들이 시작되여 일부 통과암호들은 이미 해득되였다. 

암호화된 NT 통과암호들은 \ winNT \ system 32 \config 등록부안에 SAM 이 라는 파일 이름으 
로 보관되 여 있다. LOphtCrack 는 이 정보에 접근하는 3가지 방법을 제공한다. 

• 쏘프트웨 어 가 NT 봉사기 에 서 동작하고 있 다면 LOphtCrack 안으로 그것 을 직 접 
끌어 들인다. 

• 레 프，비상회 복디 스크 또는 \ winNT\repair 등록부에 보관된 SAM 파일의 여 벌 판 
을 읽는다. 

• 포함된 readsmb.exe 도구프로그람을 리용하여 망전송과정 을 감시 하면서 SAM 
파일에 대한 접근을 시도한다. 



그림 16-12. LOpht 의 LOphtCrack 도구프로그람 
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인증정 보들이 일 단 수집되 면 LOphtCrack 도구프로그람에 제 공된 다. 전체 암호문을 해 
득하려 고 시도하는 일부 통과암호해득기들과는 달리 LOphtCrack 는 통과암호를 푸는데 요 
구되 는 시 간을 단축하기 위하여 몇개의 간략수법 을 리용한다. 실례 로 그림 16-12 에서 <8 
렬은 8개문자이하의 통과암호를 가진 구좌를 나타낸다. 

이것은 LanMan 하쉬 에서 암호문을 보고 결정한다. 8개 문자이 하인 통과암호는 항상 
빈 자리채 우기 를 위하여 끝에 문자렬 AAD 3 B 434 B 51404 EE 를 첨 가한다. LOphtCrack 는 이 
정 보를 리용하여 8개 문자이 하인 통과암호들을 신속히 결정한다. 

통과암호들은 처 음에 수천개 의 단어 를 가진 사전파일 에 의하여 검 사된 다. 사용자가 
더 많은 단어들을 추가하려고 한다면 본문편집기로 단어들을 사전파일에 추가할수 있다. 
사전파일 에 의한 검 사는 아주 빠르다. 그림 16-12 에 서 보여 준 구좌검 사는 10 s 이 내 에 진 
행되 였다. 사전검 색 에 의하여 해 득되 지 않은 통과암호들에 대 하여서 는 그다음 힘 내 기 공 
격 을 진행한다. 힘 내 기공격 에서는 문자，수자，특수문자들을 다 시 험할수 있다. 통과암호 
를 힘 내 기 공격하는데 걸 리는 시 간은 통과암호의 문자수에 의 존한다. 실례 로 그림 16-12 
에서 구좌 cbrenton 은 10개문자로 된 통과암호를 가진다. 이 통과암호가 7개문자이하이면 
검색시 간은 거의 3분의 1로 줄어 든다. 

체 계관리 자는 통과암호해 득기 의 리용을 마음대 로 조종할수는 없 다. 일 반적 으로 통과 
암호해 득기 는 매 플래 트홈을 위하여 서 만 리용할수 있 다. 그러 나 관리 자가 봉사기 에 서 직 
접 통과암호해득기를 동작시키지 못하도록 차단한다 하여도 공격 자는 항상 다른 기계우 
에서 해득쏘프트웨어를 동작시 킬수 있으므로 경계해 야 한다. 

이것은 진짜 유일한 방어는 통과암호정보를 포함한 모든 파일들을 보호하는것과 함 
께 경 로기 와 교환기리용을 통하여 망에 대 한 감시 를 차단하는것 이 다. 

물리적접근공격 

많은 사람들은 망에 대한 공격을 경계할 때 망을 손상시키는 가장 직접적인 방법이 
망에 물리적으로 접근하여 진행된다는것은 생각하지 못하고 있다. 격리되거나 또는 페쇄 
된 지 역 에서 유지되는 체계는 아주 취 약하다. 왜 냐하면 체 계공격 에 필요한 일부 정보들 
을 가진 공격자라면 체계를 쉽게 손상시킬수 있기때문이다. 이미 강조한바와 같이 공격 
의 압도적인 대부분은 기관안에서 일어 난다. 기관안에 있는 공격자는 망자원에 대한 일 
정한 준위의 합법적 인 접근권한을 가지고 있다. 체계 에 물리적으로 접근할수 있는 공격 
자가 이 구좌를 관리 자준위 로 승격시키 는것은 그리 어 렵지 않다. 

실례 로 모든 의뢰 기체 계 가 Windows NT Workstation 으로 된 망환경 을 가정 하자. 프로 
필은 위 임배 당이며 사용자들에게 는 국부체계 와 망자원에 대 한 최소접 근만이 제공된다. 
모든 봉사묶음들이 설치되고 보안기능들이 제공된다. 매 NT 워크스테이션들은 완전한 검 
열 기능을 리 용하여 사건들을 등록하고 의 심스러 운 동작를을 감시 하는 원격프로쎄 스로 전 
송하여 앞으로의 조사를 위한 경 과기 록정 보로 보관한다. 

이 것은 안전한 의뢰기 환경 인것 처 럼 생 각되 지 만 그렇 지 도 않다. 만일 공격 자가 은밀히 
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기계에 물리적으로 접근한다면 쉽게 다음의 조취들을 취함수 있다. 


• 콤퓨터의 씌우개를 벗기고 CMOS 통과암호를 지우기 위하여 전원을 방전시킨다. 

• 국부파일체계 에 대 한 접근을 얻기 위하여 플로피 디스크없이 체 계를 기동 
한다. 

• SAM 파일을 복사하고 통과암호해득기를 기동한다. 

• 국부관리자통과암호를 제거하여 국부 NT 조작체계에 대한 완전한 접근을 엄는다. 

• 망기판을 련결하지 않고 체계를 재기동하여 어떤 경보에도 걸리지 않고 관리 
자로 국부가입한다. 

• 경 과기 록준위 를 변경하여 의 심스러 운 동작들이 보고되 지 않도록 한다. 

• 쏘프트웨어 감시 기 를 설 치하여 다른 망통신을 감시할수 있게 한다. 

• 다른 망체 계 를 공격 하기 위하여 다른 통과암호를 리용한다. 

간단히 말하여 재치 있는 공격자들은 이러한 환경의 보안을 한시간반동안에 완전히 
우회한다. 제 일 시 간이 많이 드는것은 NT 의 기동 또는 정지를 기 다리는 시 간이 다. 큰 
환경 에 대 한 보안을 관리할 때 의뢰기체계들을 안전하게 하는 방식 으로 보안방책 을 세 
우지 말아야 한다. 우의 설명 에서 알수 있는바와 같이 그러한 환경 은 너 무 쉽 게 손상될 
수 있다. 


죽 __°1 

례 외 는 WinFrame 또는 MetaFrame 과 같은 약한 의 뢰 기 환경 에 서 이 다. 이 러 한 국부워 
크스테 이 션들은 말단보다 약간의 기 능을 더 가지 고 있다. 즉 모든 보안은 봉사기 에 
의하여 관리 된 다. 


O 야 

-U- 一 I 

이 장에서는 공격자들이 망을 공격하기 위 하여 쓰는 일부 방법들에 대 하여 설명 하였 
다. 먼저 공격 자가 기관이름과 같은 약간의 정보에 기초하여 망에 대한 초기정보를 수집 
하는 방법을 설명 하였다. 다음으로 공격 자가 어떤 약점성을 리용하여 공격 하겠는가를 알 
아 내기 위하여 특정한 망환경에서의 조작체계와 봉사류형과 갈은 정보들을 어떻게 수집 
하는가에 대 하여서도 설명 하였다. 끝으로 공격 자가 망자원을 손상시 키 기 위 하여 시도하 
는 공격 방법들에 대 하여서도 일부 설명 하였다. 

다음장에서는 이러한 공격을 어떻게 앞지르겠는가에 대하여 설명한다. 발견된 공격 
징후들을 어떻게 알려 주며 공격이 시작되기전에 어떻게 망의 약점을 찾아 내는가에 대 
하여 고찰한다. 
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제 1 7장. 공격을 앞지르기 


현대 쏘프트웨어가 매우 복잡한것으로 하여 보안취약성은 앞으로 몇년동안 여전히 
제기될것이다. 이러한 취약성에 대한 공개적인 토론은 현재 쏘프트웨어에서 악용될수 있 
는 코드를 제거하는 방향에서 흘러 왔지만 앞으로의 개정판들이 이러한 문제를 완전히 
해 결한다는 담보는 없다. 실례 로 완충기넘 침은 1970년대 초부터 프로그람작성 자들을 괴 
롭히고 있지만 오늘도 여전히 많은 문제점들이 제기된다. 

안전한 망환경을 유지 하기 위 하여서는 망관리자가 망환경을 주기적 으로 계속 조사하 
여 약점들이 발견되는 즉시로 대응책을 취함으로써 이 러한 약점들이 공격자들에 의하여 
악용되지 않도록 하여 야 한다. 지난 시기 에는 보안문제를 해결하는데서 제품이 갱 신되거 
나 또는 새로운 봉사프로그람묶음이 나오기를 기다려야만 했다. 실례로 Microsoft 는 항시 
적 으로 보안과 관련 한 기 능들을 갱 신하여 발표하고 있 다. 그러 나 제 작자들에 게 서 수정프 
로그람이 제 공되 기 를 단순히 기 다리 기 만 하여 서 는 완벽한 보안을 담보할수 없 다. 

제작자들로부터의 정보 

제 작자는 최 신의 보안림시 보수보충프로그람을 얻 을수 있는 가장 좋은 통로이 다. 대 
부분 제작자들이 보안상태보고를 제출하지만 일반적으로 특정의 약점에 대 하여서는 제3 
자의 자원을 통하여 훨씬 더빨리 찾을수 있다. 그리고 시장경쟁에 구애되지 않는 정확한 
약점 정 보를 엄 는것 이 훨씬 더 좋은것 이 다. 실례 로 Microsoft 는 뒤 구멍(유명한 트로이 목마) 
과 관련한 공개 문서 에 서 다음과 같이 언명하였 다. 

《 뒤 구멍》은 Windows, Windows NT 또는 Micrsoft BackOffice 묶음제 품들에 서 실 현 
된 어떤 보안문제도 폭로하거나 악용하지 않는다. 그것은 Windows 풀래트홈에서 본 
래 부터 존재하는 고유한 보안취 약성 이 실증될 때 까지 이 다. 

이것은 명백히 공개적인 보안관련견해이다. 그러나 이러한 견해는 국부망환경에 위 
협 이 있는가를 결정하려 고 하는 체 계관리 자에게 는 큰 도움이 되 지 않는다. 이 로부터 제 
작자들이 취 약성존재 에 대 하여 일정한 정 도로는 이 야기 하고 있지 만 중요한것 은 완전한 
최 신극비 정 보를 그어 디 에 선가 구입하는것 이 다. 

3 COM 

3 COM 은 망기판과 교환기，경로기를 비롯하여 많은 종류의 망관련제품을 만들고 있 
다. 회사는 또한 Palm 이라는 손바닥만한 크기의 인기 있는 휴대용콤퓨터들도 제작하고 
있다. 3 COM 은 성능에 비하여 상대적으로 값이 눅은 제품들을 제공한다는데 로부터 이름 
이 만들어 졌 다. 3 COM 의 Web 싸이 트는 www .3 com.com 이 다. 
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기술정보 

3 COMWeb 싸이 트는 수많은 기 술론문들과 요약들을 제 공하고 있 다. 목록이 Cisco 가 
보유하고 있는것 만큼 방대하지 는 못하지 만 3 COM 싸이트에 는 ATM 으로부터 망보안측면까 
지 여러가지 주제의 론문들이 포함되여 있다. 제품에 대한 론문들도 있다. 실례로 방화벽 
으로서 의 3 COM NetBuilder 리 용을 특별히 설명 한 보안관련론문들이 있다. 그러 나 많은 론 
문들이 특정한 기 술에 대 하여 간단히 취 급하고 있 다. 

이러한 론문들은 www .3 com . com / technology / tech _ net / white_papers / index , html 에서 찾을 
수 있 다. 

3 COM 의 Web 싸이트에서는 또한 많은 상품지원정보들도 찾을수 있다. 지식과 관련된 
정보는 없으나 매 제품에 대한 조언과 관련한 정부와 회사의 설명서 등은 제공한다. 제 
품과 관련한 문서는 또한 직결봉사를 받을수 있다. 


죽 __°1 

3 COM 의 지 식기지 에 대 한 접근을 얻기 위 하여서는 반드시 계 약을 체결하여 야 한다. 
이것은 이미 알려 진 오유와 갈은 더 방대한 범위의 문제들에 접근할수 있는 권한 
을 준다. 


일반적 인 지원은 http :// infoodeU .3 com . com / index.html 에서 찾을수 있 다. 

3 COM 은 지난 몇년동안 자기 의 상품들에 대 한 보안상태 에 서 개 선을 가져 왔다. 
이것은 그전과는 완전히 대조적이다. 유감스럽게도 3 COM 은 보안과 관련한 전용우편 
목록을 가지고 있지 않다. 그러 나 다른 제 작자들은 제품의 취 약성에 대한 통지를 즉 
시에 할수 있게 전자우편과 같은 봉사들을 제공하고 있다. 

수정보충과 갱신 

3 COM 은 모든 자기 의 사용자들이 자유로 리용할수 있는 수정 보충 및 갱 신프로그람 
을 만들어 제 공한다. 봉사계 약이 필 요없 이 그저 받기 만 하면 되 므로 대 단히 편 리하다. 즉 
봉사계 약을 체 결 함이 없 이 오유를 간단히 퇴 치할수 있 다. 3 COM 의 지 원싸이트에 서 는 또 
한 Windows 기 반 TFTP 봉사기 와 같은 제 3자의 쏘프트웨 어 도 방조 받을수 있 다. TFTP 봉사 
기는 3 COM 경 로기 또는 교환기외의 점웨어를 갱신하려고 할 때 요구된다. 다음의 쏘프트 
웨 어서고 http :// support .3 com . com / infodeli / swlib / index.htm 에서 3 COM 의 수정보충파일들을 
엄을수 있다. 

Cisco 

Cisco 는 하부구조의 하드웨어를 전문으로 한다. Cisco 는 교환기，경로기，방화벽 지어 
침 입검출체 계와 같은 다양한 제품계 렬들을 만들고 있다. 인터네트의 대부분은 Cisco 하드 
웨어 에서 동작하고 있으며 Cisco 는 망련결분야에서 주역을 담당하고 있다. Cisco 관련정보 
는 Web 싸이 트 www . cisco.com 에서 찾을수 있 다. 
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기술정보 

Cisco 는 망관련정 보를 제 공하는데서 는 인터네 트에서 제 일 좋은 싸이 트이 다. 제 품서 술 
과 관련 한 문서 들과 함께 수많은 기 술정 보들을 제 공한다. 특정한 망환경 에 서 BGP 또는 
OSPF 를 실 행하는데 필 요한 정 보들까지 도 제 공한다. Cisco 싸이 트는 수많은 백 서 들과 함께 
기술적 인 설명과 그것을 어떻게 실행하는가를 설명하는 지도서들도 포함하고 있다. 

CiscoWeb 싸이트는 망관리자들이 자기의 망환경을 엄격히 차단하는데서 도움이 되는 
방대한 보안관련문서 들도 제 공한다. 이 싸이트에 서 는 눈물방울공격 과 스머 프공격 에 서 와 
갈은 취 약성 들을 극복하는데 필 요한 상세한 정 보들을 제 공 받을수 있 다. 기 본폐 지 에 있는 
검색엔진으로부터 모든 정보들을 직접 손쉽게 얻을수도 있다. 

Cisco 는 취 약성들을 발견하고 해결하는 우수한 취 약성광고기능도 제공한다. Cisco 는 
CRET 를 통하여 이러한 수정보충프로그람들을 발표할뿐아니라 자기자체의 배포통로를 
통하여 서 도 진행한다. Cisco 는 취 약성 이 발견되 면 즉시 에 수정 보충프로그람을 만들어 발 
표함으로써 인 터네 트의 주역 을 담당한 제 작자표준으로 인정 되 고 있 다. 

수정보충과 갱신 

Cisco 는 어 떤 부분이 미 약하면 새 로운 수정 보충프로그람을 준비하여 공개하여 야 한 
다. Cisco 는 자기 의 경 로기 또는 교환기 들을 수정 보충하기 위하여 중요한 문제 들은 발표 
하지 않는다. 오히 려 그 회사는 장치의 조작체계를 개선하여 새 로운 판번호로 내놓고 있 
다. 이러한 갱신은 제품의 질제고를 포함하기때문에 Cisco 는 공개적으로 접근할수 있는 
자기의 Web 또는 FTP 싸이트를 통하여 그것들을 쓸수 있게 하지는 않는다. 이러한 갱신 
프로그람을 받기 위하여서는 Cisco 와 계 약을 하여 야 한다. 

Cisco 는 주되는 보안구멍이 발견되면 갱신프로그람을 자유로 제공하며 자기의 신 
용으로 담보한다. 한때 Cisco 700계렬경로기는 매우 긴 통과암호문자렬의 입력과 같은 
완충기넘 침공격 에 취 약하다는것 이 발견되 였 다. 이때 Cisco 는 봉사계 약의 체결여하에 관 
계 없이 모든 Cisco 700계렬사용자들이 자유로 쓸수 있는 갱신프로그람을 만들어 발표 
하였다. 

Linux 

핵심부 Linux 조작체 계는 상업적 인 제품은 아니지만 많은 자발적 인 지원자들과 그것을 
배 포하는 각이한 기 관들에 의하여 활발하게 제 품화되 여 제 공되 고 있 다. Linux 는 그자체 
가 특별한 사명 을 가진 처 리들까지도 조종할수 있는 그러한 견고한 조작체계 로서 형성되 
였 다. Linux 는 응용봉사기，경 로기，방화벽 으로써도 동작할수 있 다. 대 부분의 Linux 관련정 
보들은 www . linux.org 에 있는 기 본 Web 싸이트에 련결 되 여 있 다. 

기술정보 

LinuxWeb 싸이 트는 Linux 문서 화프로젝 트 ( LDP ) 에 의 하여 만들어 진 방대 한 문서 들을 
봉사한다. 이 싸이트에서는 자주 제기되는 질문 ( FAQ ) 과 사용법 ( HOWTO ), Linux 가 제공하 
는 매 기능들과 봉사들을 그대로 사용하는데 필요한 최소사용법 ( mini - HOWTO ) 들과 관련 
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한 문서들을 제공한다. Linux 조작체계를 가지고 무엇을 할수 있는가에 대 한 문서는 없다. 
오직 Linux 의 프로쎄 스 그자체 들에 대 한 문서 들만이 있 다. 문서 들에는 지 어 설 치하는 동 
안 경계할 필요가 있는 많은 경 고관련정 보들도 포함되 여 있다. 문서화에 대 한 정보는 
www.linux.org/docs/index.html°11 서 찾을수 있 다. 

이 페지들에는 또한 많은 Linux 관련우편목록과 그룹들에 대한 련결도 포함되여 있다. 
이 목록을 이 장에 서 그대 로 서 술하기에 는 너 무 방대하다. 우편목록을 리용하여 Linux 관 
련 문제 들에 부닥칠 때 즉시 로 방조를 받을수 있다. 전화지 원 이 필 요한 경 우에 는 료금을 
전제 로 하여 제 작자들이 제 공하는 봉사를 리 용할수 있다. 제 작자의 목록은 
www.linux.org/vendors/index.html °11 서 찾을수 있 다. 

Linux 개발림 은 보안관련취 약성 들과 수정 보충정 보들을 발견되 는 즉시 로 적 극적 으로 
보급하고 있다. 이 정보들은 CRET 를 통하여 그리고 많은 Linux 토론통로를 통하여 전파 
된 다. Linux 개발림 은 또한 보안림시 보수프로그람을 발행하는데 서 아주 민감하다. 

수정보충과 갱신 

상업적 인 목적을 추구하지 않는 Linux 조작체계는 무료로 제공된다. 또한 보안관련 
수정보충프로그람들에 대하여서도 마찬가지 이다. Linux 원천코드를 내리적재 할수 있는 일 
부 URL 주소들은 다음과 같다. 

• ftp://ftp.cc.gatech.edu/pub/linux/ 

• ftp://sunsite.unc.edu 

• ftp://ftp.caldera.com/pub/ 

• ftp://ftp.redhat.com/redhat 


Microsoft 


Microsoft 는 자기 의 쏘프트웨어 제품들에 서 발견된 많은 보안취 약성 들로 하여 지 난 몇 
년동안 심각한 고초를 겪 었다. Microsoft 는 초기에 보안약점들을 확인하는데서 좀 민감하 
지 못하였 지만 지 금은 보조를 맞추고 있 다. Microsoft 는 현재 어 떤 취 약성 이 보고되 면 몇 
시 간안으로 보안림시 보수프로그람을 만들어 발표하고 있다. Microsoft 의 Web 싸이트는 
www.microsoft.com 0 ! >4. 

기술정보 

Microsoft 의 Web 싸이 트에 는 방대 한 기 술정 보들이 포함되 여 있 다. 대 부분 정 보들에 는 
값비싼 내용이라는 표식이 붙어 있다. 이러한 정보에 접근하는것은 무료이지만 질문항목 
들에 해 당한 내 용을 기 입할것 과 열 람기 가 cookies 를 접 수할수 있게 구성할것 을 요구한다. 
질문항목들은 대체로 누구인가，어디서 일하는가，전자우편주소가 얼마인가 하는 항목들 
이 다. 또한 Microsoft 로부터 시 장정 보와 장려하는 내 용들을 포함한 전자우편을 앞으로 접 
수하겠는가를 요구하기도 한다. 

이 항목들중에서 열람기가 cookie 를 접수하여야 한다는 요구가 가장 큰 문제 이다. 
Cookie 는 사용자의 국부체계에 보관되여 있으면서 Web 싸이트가 사용자가 누구이며 어디 
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에 있는가를 식 별 할수 있 게 하는 본문파일 이다. Cookie 는 Double _ Click.net 와 같은 회 사들 
에서 기 본적 으로 리 용된다. 그 목적은 지난 시 기 사용자에 게 제 일 흥미 를 불러 일으킨것 
이 어느 광고였는가를 결정하는데 있다. 실지로 놀라운것은 cookie 가 사용자의 인터네트 
이 동상태 와 어 느 Web 싸이트를 방문하여 어 떤 문서 들을 보았는가를 추적 한다는것 이 다. 
cookie 에 대하여서는 www . netscape . com / newsref / std / cookie - spec.html 에서 찾아 볼수 있다. 

Cookie 를 접 수하도록 열 람기 를 구성할수 없 다면 그림 17-1 에 서 보여 준 오유통보문 
이 나타날것이다. Microsoft 가 이러한 방법으로 사용자에게 자기의 열람기를 리용할것을 
요구하기 도 한다는것 을 고려하여 야 한다. 

Microsoft 는 자기 의 Web 싸이트로 보안관련통보서 를 내 보낸 다. 

수정보충과 갱신 

Microsoft 는 자기 의 Web 싸이트를 통하여 모든 보안림시 보수프로그람을 자유로 리용 
할수 있게 한다. Microsoft 는 또한 자기의 갱신프로그람들을 갱신통지도구프로그람을 통 
하여 배포하고 있다. 이러한 도구프로그람들은 Windows 체계를 기반으로 동작하며 주기 
적으로 Microsoft 망에 련결되여 현재 어떤 수정보충프로그람이 발표되였는가를 알려 준 
다. 사용자들은 보안림 시 보수프로그람들이 발표된 즉시 에 내 리적재하여 사용할수 있다. 
여 기서 이미 설명한바와 같이 Microsoft 는 보안관련수정보충프로그람을 발표하는데서 아 
주 민 감하다. 이러한 수정보충프로그람들은 FTP 싸이 트 ftp://ftp . microsoft.com 에서 엄을 
수 있다. 



Novell 

Novell 은 NetWare 조작체 계 를 기 본으로 여 러 가지 종류의 망관련제 품들을 만들고 있 다. 
Novell 은 보안과 관련 하여 아주 효과적 인 추적레 코드를 가지 고 있 다. 

기술정보 

Novell 의 Web 싸이 트는 많은 백 서 들을 포함한다. 그러 나 이 모든 문서 들은 Novell 제 
품강좌로 특별 히 제 공된 다. 특정한 기 술에 대 한 일 반적 인 정 보들도 일 부 포함되 여 있 다. 
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Novell 은 자기의 제품강좌들을 위한 직결지도서들을 포함하고 있는 문서싸이트를 제공한 
다. 문서 싸이 트의 위치는 www.novell.com 八 iocumentation 이다. 

Novell 은 또한 사용자들이 어떤 문제들에 대 한 해 답을 검색할수 있도록 지식기지를 
제공한다. Novell 의 기술지원진영 에 의하여 조종되는 이 지식기지는 방대하다. 사용자들 
은 이 지식기지를 통하여 Novell 과 관련한 문제들에 대한 해답을 엄을수 있다. 문제는 검 
색엔진이 사용자들의 요구에 따르는 정 확한 문서들을 제공하지 못한다는것 이 다. 실례 로 
《 Security AND alert 》를 입 력 하면 결 과로서 WordPerfect, NetWare Connect, NetView 에 대 한 
제 품정 보들을 가져 온다. 이 문서 들은 취 약성 과 관련 한 정 보를 검 색하려 는 초기질 문의 요 
구에 는 맞지 않는다. Novell 지 원싸이 트는 http://support.novell.com 에서 찾을수 있 다. 


추 __°1 

Novell 은 CRET 상래 보고에 관여 하지 않으며 자기 싸이 트의 일부 공간을 보안관련문 
제 들을 발표하는데 전용으로 리용하지 않는다. 그러 나 지 식기지 에 서 보안문제 들을 
찾을수 있다. 하지만 그것을 찾기 위하여서는 무엇을 먼저 찾아야 하는가를 알아야 
한다. 이 것은 NetWare 제 품들에 관하여 서 는 취 약성 정 보를 전적 으로 제3자의 통로에 
기 초하여 얻 어 야 한다는것 을 의 미한다. 


수정보충과 갱신 

Novell 은 자기 의 Web 싸이 트를 통하여 수정 보충과 갱 신프로그람을 자유로 쓸수 있게 
하고 있다. 특정파일에 대한 수정보충이 진행되였는가를 알아 볼수 있도륵 파일찾기도구 
프로그람도 제 공한다. 또한 Novell 이 제 의하는 최 소수정 보충프로그람을 볼수도 있고 같은 
페지 에서 내 리적재할수도 있다. 최근의 수정 보충프로그람들을 한개의 폐지 에서 찾아 볼 
수 있으며 가장 최신판을 쉽게 찾아 낼수 있다. 

Sun Microsystems 

Sun 은 UNIX 조작체계중에서 가장 인기 있는 계렬들을 제공한다. 이러한 제품들로 
서 는 공학워 크스테 이 션와 고성 능응용봉사기 들을 들수 있다. Sun 은 900MHz 의 동작속도 
를 가진 64bit 처리기를 리 용한 UltraSPARC 제품계렬 에서 자기의 성능을 비약적으로 향 
상시 켰 다. 

기술정보 

Sun 은 자기의 자원하부구조에서 커 다란 개선을 가져 왔다. 대다수의 수정보충프로그 
람들파 자원정보들은 Sun 의 Web 싸이 트 www.sun.com 에서 자유로 찾을수 있다. 이것은 수 
정 보충프로그람들을 별도로 구입하여 야 했던 지난 시 기 와는 완전히 대 조적 이 다. 


주 의 

Sun 은 또한 CRET 상래 보고에 적 극적 으로 관여 하고 있 으며 많은 제 작자공보들을 내 
보내고 있다. 
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Sun 은 또한 Web 싸이트의 한개 부분을 배 정하여 보안관련정 보를 제 공하고 있 다. 이 
페 지 의 URL 주소는 http :// sun - solve . sun . com / pub - cgi / show . pl ? target : security/sec 이 다. 

제3의 통로 

최신 보안관련약점들을 제공받기 위하여 리용할수 있는 제3자의 자원은 여러가지이 
다. 이 러한 자원들은 망보안을 전문으로 하는 망사용자 또는 그러한 기관들을 방조하기 
위하여 형성되였다. 여기에 목록화되여 있는 모든 자원들은 정보접근에서 요구하는것 
이 하나도 없다는 의미 에서 완전히 자유롭게 제 공된다. 그러 나 자원유지비 용을 부담하 
기 위하여 일 부 자원들은 광고로 내 보낸 다. 

제 3자의 보안자원에 는 취 약성자료기 지， Web 싸이트，우편목록，뉴스그룹들이 포함된 
다. 매개 봉사들은 우점과 결점을 가지고 있다. 

취약성자료기지 약점들을 찾기 위한 검색 기능은 제공하지 만 검색결과를 다시 추 
가질문으로 할수 있는 귀환기능이 없다. 

Web 싸이트 수정보충프로그람에 대한 직접련결뿐아니라 상세한 설명도 제공하지만 
특정의 약점을 찾는데 많은 품이 든다. 

우편목록 찾으러는 약점에 대하여 즉시에 통보를 제공하지만 일부 목록들은 매일 
50개 이상의 통보문들을 보관할수 없는것도 있다. 

뉴스그룹 특정 한 약점 에 대 하여 더 상세한 내용을 제공하지만 요구하는 정보를 
찾기 위하여 많은 통보문들을 엄밀히 조사하여야 한다는 복잡성이 있다. 


일러두기 

약점들을 정상적으로 통보 받기 위하여서는 하나 또는 두개의 우편목록들에 기 입하 
여 의뢰하는것 이 제 일 좋다. 그다음 특정 한 문제들을 구체적 으로 조사하기 위하여 
취 약성자료기 지 와 Web 싸이 트를 리 용할수 있 다. 


취약성자료기지 

취 약성자료기지 는 특정한 기 준에 기초하여 약점들을 검색할 때 리용한다. 실례 로 특 
정한 조작체계 ( NT，Limix 등)에 영향을 미치는 약점들을 특정공격류형(봉사거부，해득)에 
맞게 검 색할수 있 다. 지 어 특정한 날자들에 서만 발견되 는 약점 들도 검 색할수 있 다. 


IIS 의 X-Force 자료기지 

인 터 네 트보안체 계 ( ISS ) 의 X - Force 자료기 지 는 플래 트홈 또는 실 마리 어 에 의 하여 검 
색할수 있다. 사용자들의 취미 에 따라서 UNIX 는 7개의 부류로，모든 Windows 조작체계는 
하나의 부류로 그룹화하였 다. 자료기 지 는 조작체 계약점 들만 목록화하였 다. 즉 3 COM 또 
는 Cisco 장치 와 같은 망관련 하드웨 어 에 대 하여 서 는 목록화하지 않았다. 특정한 플래 트홈 
에 대 한 모든 내 용 또는 매 달에 가치 있는 보안관련약점 들만 선택하여 참고할수 있다. 
또한 선택 된 내 용들을 한폐 지 에 요약하여 또는 전부 현시되 게 할수도 있 다. 

X - Force 자료기 지 의 고유한 특징 은 매 항목들에 위 험준위 를 할당한것 이 다. 만일 문의 
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결과가 여러개의 항목들로 주어 진 경우 목록을 조사하여 제일 나쁜 항목들을 신속히 찾 
아 낼 수 있다. 자료기 지 의 매 항목들읔 비 록 100%의 정 확도를 담보하지 는 않지 만 내 용 
들을 충분히 서 술하고 있다. 실례 로 앞장에 서 설명한 Exchange 약점 을 찾으면 결과는 다 
음과 갈다. 

이 공격 은 Exchange 봉사기 의 기 동정 지 를 일 으킨 다. 이 공격 에 의 하여 Exchange 봉사 
기에서 유지되는 자료의 분실 또는 그것에 대한 불법접근이 일어 나지는 않는다. 
Exchange 봉사기는 또한 공격 자가 주소부분에 코드를 삽입 하고 그것을 실행시 킴 으 
로써 일 어 나는 탄창겹 쳐쓰기공격 에 약하다. 

여기서 알수 있는바와 같이 이 항목에는 일부 모순점들이 있다. 공격이 봉사기의 기 
동정지를 일으킨다면 그 순간에 주기억에만 보존되여 있고 디스크에는 아직 보관하지 못 
한 자료들은 분실된 다. 또한 불법접 근이 일 어 나지 않는다는 첫 번째 내 용은 그다음의 코 
드를 삽입 하고 그것을 실행시 킬수 있다는 내 용에 모순된다. 

X - Force 자료기 지 는 http :// xforce . iss . net 에 서 찾을수 있 다. 


Packet Storm 

Packet Storm 은《세계에서 제일 크고 최근에 갱신된 정보보안관련자료》로 발표하 
고 있다. 실제로 Packet Storm 은 정보보안의 모든 측면에서 가장 포괄적인 검색과 보고기 
능을 제공하고 있으며 주어 진 체계의 약점뿐만아니라 정보보안분야에서 최근에 일어나 
고 있는 모든 상태를 구체적으로 통보하는 새로운 봉사도 제공하고 있다. 

Packet Storm 은 자료기지에서 자주 반복되여 검색되는 주제들을 보고하도록 Storm 
Watch 라는 고유한 특성도 제 공한다. 20번이상의 검색 이 요구된 질문들을 표 17-1 에 제 시 
하였다. 


표 17-1 자주 반복되는 보안질문 


질 문 

날 자 

apache 

Sun Feb 18 10:52:22 PST 2001 

named 

Sun Feb 18 10:52:20 PST 2001 

firewall software windows 

Sun Feb 18 10:52:18 PST 2001 

linux 2.0.35 

Sun Feb 18 10:52:18 PST 2001 

ssi exec 

Sun Feb 18 10:52:15 PST 2001 

pimp.c 

Sun Feb 18 10:52:13 PST 2001 

unix keylogger 

Sun Feb 18 10:52:05 PST 2001 

epmap 

Sun Feb 18 10:52:04 PST 2001 

proftpd 1.2.0pre2 

Sun Feb 18 10:52:03 PST 2001 

exec cmd 

Sun Feb 18 10:52:01 PST 2001 

NT 4.0 

Sun Feb 18 10:51:49 PST 2001 
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표계속 


질 문 

날 자 

apache exploit 

Sun Feb 18 10:51:48 PST 2001 

rootshell 

Sun Feb 18 10:51:28 PST 2001 

mail 

Sun Feb 18 10:51:25 PST 2001 

uin sniffer 

Sun Feb 18 10:51:24 PST 2001 

windows 98 

Sun Feb 18 10:51:23 PST 2001 

php 

Sun Feb 18 10:51:12 PST 2001 

+apache+exploit 

Sun Feb 18 10:51:10 PST 2001 

Solaris 

Sun Feb 18 10:51:08 PST 2001 

windows 98 

Sun Feb 18 10:51:08 PST 2001 


Packet Storm 은 http :// packetstorm . security . com / 에서 찾을수 있 다. 


보안결점 (Security Bugware) 

실제 의 자료기 지보다 더많이 목록화되 여 있는 보안결점취 약성자료기 지싸이트에 는 인 
터네트의 모든 싸이트들에 대한 약점들과 취 약성들을 포괄하여 완전히 목록화되여 있다. 
이 방대한 정 보에 아마 깜짝 놀랄것 이 다. Windows 에 대 한것 만 하여 도 250개 이 상의 항목 
들이 포함된다. 그가운데서 일부는 좀 반복된다. 실례로 Ping 에 대하여 5개의 항목으로 
설명하고 있으며 그중 3개는 죽음의 Ping 에서 다시 반복된다. 그러나 이러한 반복은 실 
제 로 아주 편리하다. 왜 냐하면 취 약성들이 어떻게 악용될수 있는가 하는 더 구체적 인 표 
상을 줄수 있기때문이다. 

항목들에 대한 검색기능은 없다. 12개의 조작체계부류에서 하나를 선택하고 결과를 
통하여 검색을 시작한다. 항목들은 자모순서대로 목록화되여 있으므로 검색은 그리 어렵 
지 않다. 또한 Web 열 람기 의 Find 기 능을 리 용하여 일 부 검 색 기 능을 대 신할수 있 다. 


죽 __°1 

취 약성목록은 목록화된 제 품의 다양성 에 관하여 서 도 또한 완성되 였 다. 조작체 계 의 
기 본목록뿐아니 라 망관련하드웨 어 와 망응용프로그람에 대 한 취 약성항목들도 찾을수 
있다. 만일 하나의 취 약성자료기 지 에 련결되 여 있다면 그것 에 대 한 항목들만을 찾을 
수 있다. 


이 싸이트는 http ://161.53.42.3/~ CTv / security / bugs / list . html 에서 찾을수 있다. 


Web 싸이트 


제3자의 Web 싸이트들에 는 모든 형 태의 보안관련발표에 대 한 수많은 정 보들이 포함 
되 여 있다.이 싸이트들에 서 는 망환경 을 보안하기 위한 지 침 들과 함께 공격 자들이 다른 
망을 공격할 때 리 용하는 도구들까지도 제 공한다. 많은 보안관련싸이 트들에서 몇 개를 선 
택하여 설 명 하기 로 하자. 
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AntiOnline 

AntiOnline 은 모든 관련 내 용들을 요점 적 으로 제 공하는 싸이 트들중의 하나이 다. 기 본 
폐지에는 망보안과 관련한 현재 새 소식들의 목록이 있다. 또한 《Quick Tips 》 단락으로 
속임주소추적과 같이 망관리자에게 필요한 매일매일의 보안문제들 또는 대량살포되는 광 
고성전자우편에 대 하여 아주 적 중한 조언들을 제 공하고 있 다. 또 다른 련결 을 통하여 방 
대한 범위의 보안주제들에 대한 론문들을 보존하고 있는 직결도서관들을 열람할수 있다. 
또한 기능상 서로 반대되는 수많은 보안도구들을 포함하고 있는 보존파일도 제공한다. 
AntiOnline 은 www . antionline . com / 에 서 찾을수 있 다. 

CERT 홈페지 

콤퓨터긴급응답기 구 ( CERT ) 은 인 터네 트기 반에 있는 약점 들을 수집할 사명 을 지 닌 싸 
이 트를 운영 하고 있으며 취 약성 을 해결하는 다른 제 작자들과도 협 력 하고 있다. CERT 는 
또한 알려 진 취약성들에 대하여 공개적인 통보를 발표하고 있다. 


주 의 

CERT 는 UNIX 취 약성 에 선차적 인 관심을 돌리지만 Windows 취 약성 에 대 하여서도 발 
표하고 있다. 


싸이트는 또한 망환경 을 보안하는데 서 도움이 되 는 지 도서 들도 제 공한다. CERT 는 
www . cert . org / 에서 찾을수 있다. 

손해_주지 않는 해킹지도서 

이름과는 달리 공격 에 대 처하는데서 대 단히 유용한(비록 좀 뒤 떨어 졌지만) 싸이트이 
다. 어떻게 공격을 전개하며 어떻게 그것을 차단하는가 하는 많은 실례들이 제공된다. 모 
든 실례들은 독자들이 약간의 콤퓨터실천경험을 가지고 있는것을 전제로 하여 지도서들을 
리 해 하기 쉽 게 편성 하였 다. 안내 서 는 www . spaziopiu . it / elettrici / gtmhh / 에 서 찾을수 있 다. 


LOpht 오 ！' @ stake 

LOpht 는 보스톤지역 에서 체계보안과 암호화를 전문으로 하는 해커들의 집 단으로부터 
시작되였다. 이 싸이트들은 상태보고와 도구들을 포함하여 수많은 보안관련정보들을 제공 
한다. 잘 알려 진 일부 취 약성 들은 LOpht 의 검 사서고에서 찾을수 있다. 이 것은 LOpht 의 대 
부분 상태보고들이 직 접 체 험하여 얻 은 정 보에 기 초하고 있 다는것 을 의 미한다. 

2000 년 1월에 LOpht 는 새로 형성된 회사인 @ stake ( compaq , Forrester Research , 
Cambridge Technology Partners 의 이 전 직 원들에 의 하여 만들어 졌 다.)와 련 합하였 다. 
LOpht 의 이 전 성 원들이 지 금 @stake 에 서 연구서 고를 운영 하고 있기 때 문에 Web 싸이 트는 
보안상태보고에 대 한 가장 좋은 자원들을 계 속 유지 하고 있 다. LOphtcrak 와 Antisniff 와 같 
은 LOpht 에 의하여 개 발된 많은 도구들이 지 금 보안쏘프트웨어 기술에 의하여 배 포되 고 
있 으며 이 도구들은 www . securitysoftwaretech.com 에 서 찾을수 있 다. 연구서 고에 의 하여 개 
발된 더 새 로운 도구들은 여 전히 국부 Web 싸이트의 기 본봉사로 제 공되 고 있다. 연구서 고 
는 www . atstake . com / research / index.html 에서 찾을수 있다. 
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국가보안협회 

국가보안협회 ( NSI ) 홈페지는 망의 범위 를 초과하여 다양한 주제 에 대 한 보안관련정 보 
들을 제 공한다. 콤퓨터보안과 함께 싸이트는 개 인보안，테 로，보안법 령 지 어 려 행 상태보 
고와 같은 정보들도 제공한다. 싸이트의 정보는 매우 다양하다. 심지어 정보보안방책에 
대 한 심 리적효과론문들도 읽을수 있다. 이 싸이트는 보안분야의 지식을 폭넓게 소유하는 
데 필요한 모든 자원들을 제 공하는 아주 편리한 싸이트이 다. NSI 홈폐 지 는 http :// nsi . org / 에 
서 찾을수 있다. 


Phrack 잡지홈페지 

Phrack 잡지 는 체 계 취 약성 과 관련 하여 가장 오래 동안 운영 되 고 있 는 전자공학잡지 이 
다. 상당히 많은 약점 들이 Phrack 홈페 지 로부터 공개 되 여 알려 졌 다. 대 다수의 기 사들은 
어떻게 약점을 악용하는가 하는 관점 에서 설명하지만 일부 기사들은 파괴적 인 공격의 후 
과에 대하여서도 상세히 서술하고 있다. 이것은 공격을 막아 낼수 없는 경우어떤 자원 
을 보호하여야 하는가를 확인하기 위해서도 꼭 필요한 정보이다. Phrack 는 어떠한 예정표 
도 내놓지 않는다. 제일 최근의 문제점 #56은 2000년 5월에 발표하였다. Phrack 는 자기의 
Web 싸이 트를 가지 고 있지 않지 만 제 공하는 정 보들은 http :// packetstorm . security . com/mag 
/ phrack / 에서 찾을수 있다. 


Robert Malmgren 의 NT Security FAQ 

이 름이 표현하는바와 같이 이 싸이 트는 NT 관련내 용 (Windows 2000정 보는 아니 다.)들 
을 제 공한다. 이 싸이트는 NT 봉사기 의 보안과 관련 하여 알고 싶은 모든 정 보들을 제 공 
한다. 관리와 등록고，파일체계를 포함하여 NT 봉사기의 모든 측면들을 매우 상세히 설명 
한다. 또한 NT 와 호환성 이 있는 방화벽과 인증에 대 한 정보를 제공하는 내용도 포함되 
여 있다. NT 봉사기 를 보안할 필요가 있으면 이 싸이트에 서 가치 있는 정 보들을 참고할 
수 있 다. NT Security FAQ 는 www . it . kth . se /~ rom / ntsec.html 에서 찾을수 있 다. 

우편목록 

우편목록은 보안취 약성을 정상적으로 통보할수 있는 아주 쓸모 있는 도구이 다. 우편 
목록은 취 약성 이 공개적 으로 발표되면 즉시에 해 당한 통보를 제공한다. 또한 특정의 약 
점들에 대 하여 구체적으로 론의 할수 있는 공개토론회를 지원하는 가능도 제공한다. 우편 
목록들욘 서 로 련결되 여 정 보를 제 공하기 때 문에 특정한 약점 들에 대 하여 서 는 취 약성자료 
기지보다 더 많은 정 보를 제 공한다. 열린 공개 토론회 에서 는 자유롭게 질문할수 있다. 


죽 __°1 

우편목록에 등록하기 위 하여 서 는 우편목록봉사기 에 전자우편통보문을 보내 야 한 
다. 이 통보문은 본체 부에 subscribe 와 같은 열 쇠 단어 또는 단어 형 래 를 포함하여 
야 한다. 목록에 서 제 거 하려 면 unsubscribe 단어 를 리 용하여 우의 처 리 과정 을 반복 
하면 된다. 
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Bugtraq 

모든 취 약성토론목록의 모체 인 Bug 加 q 는 약점 에 대 한 토론을 조정 하는 우편목록이 다. 
많은 취 약성 들이 이 목록에 의하여 처 음으로 발표되 였 다. 우편목록은 어 떤 약점 들이 발견되 
였으며 그것을 수정 하기 위 하여서는 무엇을 하여 야 하는가에 기본을 둔다. 발견된 어떤 취 약 
성 에 대 하여 통보 받았다는것 을 보증하기 위 하여 서 명하는 목록도 있 다. 자료흐름이 좀 많지 
만 이 목록을 통하여 매 일 여 가시 간에 몇번의 마우스찰칵으로 수집 되 는 정 보는 아주 가 
치 있는것이다. Security Focus 는 Bugtraq 의 보존과 서명형식에서 기본기능을 담당한다. 
Security Focus 는 www . security . com / about / feedback / subscribe.html 에 서 찾을수 있 다. 


Firewall-Wizards 

방화벽조수우편목록 ( FirewaU-Wizards mailing list ) 은 방화벽 과 주변보안과 관련된 모 
든 주제들을 토론하는 우편목록이다. 이 목록은 모든 우편들이 주제에 맞게 정상적으로 
동작하는가 그리고 모든 광고성전자우편들이 려과되는가를 확인하고 있는 Macrus Ranum 
에 의하여 조정 된다. 자료흐름준위 는 방화벽연구로 인 한 일 부 과도한 경 우를 제 외 하고는 
극히 낮은 경향성을 가진다. 목록에는 방화벽과 관련한 요점들을 선택하는데서 큰 역할 
을 담당수행하는 아주 우수한 일부 성 원들만이 포함되 여 있 다. 

더 상세 한 정 보와 목록가입 과 관련 한 정 보들은 www.nft.com/mailman / listinfo / firewall - 
wizards 에서 찾을수 있다. 


InfoSec News 

InfoSec News 우편목록은 보안관련 새소식들을 보급한다. 여기에는 신문，잡지，직결 
참고서에서 일하는 전문가들이 포함되여 있다. 우편목록은 닫겨 져 있다. 즉 조정자에 의 
하여서만 보급이 진행된다. 다른 성원들은 조정자에게 보안관련 새소식들을 보내는것으 
로써 정 보봉사에 기 여한다. 목록은 보안분야에 서 화제 로 되 고 있는 많은 취 약성 들에 대 
하여 그 일 부만을 론의 하고 있 다. 목록가입 과 관련 한 상세 한 정 보는 www . c 4 i . org / isn.html 
에서 찾을수 있다. 

IIS 의 X-Force IDS 토론목록 

IIS 는 자기의 Web 싸이트를 운영하고 X-Force 에 있는 많은 토론목록들에 대한 중 
계 자적 역할을 담당수행 하고 있다. 이 싸이트에 서 는 제 일 인기 있는 분야의 하나인 침 
입검출체계우편목록을 운영하고 있다. 이 목록은 침입검출체계와 관련한 주제들에 중 
점 을 두고 있으며 특정한 사람에 의하여 운영 이 조정되지는 않는다. 이 목록은 열린 
공개토론회형식으로 운영된다. 즉 모든 사람들은 자유로 질문 또는 그것에 대한 대답 
을 배포할수 있다. 목록에 가입하기 위하여서는 열람기에서 http :// xforce . iis . net / maillists / 
를 열람하면 된다. 
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NT Bugtraq 우편목록 

NT Bugtraq 우편목록은 다만 MicrosoftWindows 의 취 약성과 그로부터 초래되는 공 
격들을 기본초점으로 하여 운영된다. 이름과는 달리 Microsoft 조작체계와 응용프로그 
탐에 대 한 문제 도 토론된 다. 목록은 발송을 될수록 최 소화하는 방책 에 서 매 우 힘 들게 
조정된 다. 사실 대 부분은 목록조정 자 또는 Microsoft 프로그람작성 자들로부터 발송된 다. 
Windows 에 커 다란 흥미 를 가지 고 있 다면 이 목록에 가입 하여 많은 정 보를 교환할수 
있 다. 


죽 __ oj 

Bugtraq 우편목록에서 토론되 는 Windows 와 관련한 취 약성들을 이 목록에서 i 도 찾을수 
있 다. 


NT Bugtraq 에 대한 더 구체적인 정보와 목록가입에 대하여서는 www . hntbugtraq . com 
에서 찾을수 있다. 

뉴스그룹 

보안관련주제들을 취급하는 많은 그룹들이 있다. 뉴스그룹들은 아무런 절차없이 가 
입 할수 있는 매 우 편리한 정 보공유기 능을 제 공한다. 통보문은 뉴스그룹봉사기 로 발송되 
며 여 가시 간에 그것을 읽 어 볼수 있다. 뉴스그롭에서 한가지 문제는 그것 이 대 단히 높은 
신호 대 잡음비를 가진다는것 이 다. 이것은 뉴스그를공개토론회 가 그 누구에 의 하여 조정 
되는것이 아니기때문이다. 


둑 __°1 

높은 신호 대 잡음비란 많은 발송우편들을 려과하여야 실지로 흥미를 가지는 정보 
를 찾게 된 다는것 을 의 미한다. 


여기에 흥미 있는 일부 뉴스그룹들을 목록화하였는데 설명은 하지 않았다. 왜냐하면 
뉴스그롭이름들이 다 자기의 기본주제를 반영하고 있기때문이다. 

• comp , os . ms - windows . nt . admin , security 

• comp . os . NetWare , security 

• comp , security , firewalls 

• comp , security , ssh 

• comp , security , unix 

• comp , security , misc 

• microsoft . Public . Access , security 
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환경 검열 


여러개의 봉사기들을 가진 망환경을 보안하는것은 아름찬 과제이다. 혼자서 체계를 
어떻게 방어하겠는가를 생각하고 매일 점검을 하는것은 매우 어려운 일이다. 특히 많은 
부하가 걸려 있는 망관리자는 다른 여가시간을 얻기 위하여 보안문제를 뒤로 미루어 놓 
을수 있다. 

문제는 매번 무엇을 찾아야 하는가를 모르는데 있다. 대부분의 망관리자들은 설정을 
변경하거나 또는 요구되는대로 수정보충프로그람을 적재한다. 그러나 기본은 보안을 위 
하여 무엇이 필요한가에 대한 어떤 방향을 가지고 있어야 한다. 제일 명백한 선택은 보 
안상담자를 채용하는것이다. 물론 이것은 예산안에 포함되여 있어야 한다. 

약점 들을 수정하려 고 한다면 제16장에 서 설명한 취 약성스캐 너 를 리용하여 시 작하는 
것 이 제 일 합리 적 이 다. 인 터 네 트보안체 계 ( ISS ) 와 WebTrends 에 서 제 공되 는 제 품들은 약점 
들을 문서 화하는데서 아주 편리하다. 그러 나 때때 로 어 떤 방향에서 계 산환경 을 더 안전 
하게 할수 있겠는가 하는 문제도 제기된다. 이러한 경우에는 보안검열프로그람을 리용하 
여 야 한다. 

보안검열프로그람묶음은 오유 또는 알려 진 취약성들을 찾아 내지는 못한다. 그보다 
는 망상의 모든 체 계 들이 설정한 보안방책 에 따르는가를 확인한다. 실례 로 보안방책 이 
모든 사용자구좌들이 90일만에 통과암호를 반드시 변경 하도록 설정 되 였다면 검 열 프로그 
람묶음은 봉사기의 매 사용자들을 검사하여 변경사항을 검열한다. 

Kane 보안분석기 

침 입 검 출 (Intrusion Detection ) 의 Kane 보안분석 기 ( KSA ) 는 봉사기 검 열 프로그람묶음이 다. 
취 약성검 사는 진행할수 없지 만 매 봉사기 들에 대 하여 보안방책추종준위 를 평 가한다. 
KSA 는 Windows NT 와 NetWare ( bindery , NDS ), UNIX 지 어 Lotus Notes 봉사기 들도 검 열 할 
수 있다. 

KSA 는 사용자구좌와 파일체계，경과기록 지어 NT /2000 체계의 등록고까지도 검사한 
다. 기 관의 보안방책 의기 준을 입 력하면 KSA 는 어 느 망봉사기 가 이 에 추종하지 않는가를 
보고한다. 

실례로 Windows 2000을 사용할 때 KSA 의 검열기능을 리 용하여 보안방책을 검열할 
수 있다. 


둑 __°1 

Windows NT /2000 에 대한 검열처리와 보고는 다른 플래트홈들에서도 거의 류사하다. 
차이 는 KSA 가 등록고허 가를 검 열할수 있 으며 어 느 구동기 가 NTFS 를 리용하고 있 
는가를 확인한다는것이다. 
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네번째 단추는 추종리력을 조사하는데 리용된다. 일단 검열이 끝났다면 화면우에 
그림기호를 리용하여 검열결과를 부분적으로 볼수 있도륵 선택한다. 

보안방책정의 

보안방책은 보안표준설정단추를 눌러서 연시되는 화면(그림 17-3) 에서 입력한 
면의 왼쪽에 있 는 단추들을 리용하여 보안방책 을 여 러 가지 측면 에 서 선 택할수 있 
례 로 기 정 으로는 구좌제 한이 선택 된 다. 이 단추에 서는 KSA 가 콤퓨터 와 시 간제 한을 
하여 검 사하겠는가를 정 의할수 있게 한다. 또한 KSA 가 무효구좌 또는 휴식상태 에 
구좌도 검 사하는가를 정 의한다. 



그림 17-3 .구좌제 한에 의한 보안방책 설 정 


화면의 우에서 각이한 조작체계를 표현하는 표적들이 있다. 여기서는 망체: 
사용할수 있는 조작체 계 들을 선택할수 있다. 이 표적 들을 선택 가능하게 하기 ^ 
서 는 사용권을 추가로 구입하여 야 한다. 화면의 왼쪽에 있는 단추들과 우에 있 






감시 단추를 선택하여 모든 NetWare 4. x 봉사기 들에 서 


검열실행 

검 열 실 행 은 KSA 기 본화면 에 서 보 안검 열 실 행 단추를 선 * 
그림 17-4 에 보여 준다. 여 기서 는 KSA 가 선행한 검1 
령에서 새 로 시 작하는가를 확인할수 있다. 또한 검 열 





















검열결과의 조사 

검 열결과는 KSA 기 본화면에 서 위 험분석조사단추를 선택하여 그라프적 인 개 괄로서 
조사된다. 그림 17-5 에 위 험분석조사화면을 보여 주었 다. 그라프들은 체 계구성 의 어 느 
부분이 보안방책지침 에 맞고 어느 부분이 맞지 않는가를 보여 준다. 100%가 완전한 추 
종을 나타낸다. 낮은 부분들은 체계에 어떤 조종이 필요하다는것을 나타낸다. 추종프로 
그람은 망관리 자가 먼저 주의 를 돌려야 하는 부분이 어 디 인가를 결정하는 척 도로서 리 
용 할수 있다. 
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그림 17-5. 위험분석조사화면 


Risk Analysis Survey 



위험분석조사창에서 체계감시단추를 선택하여 체계의 보안상태가 미약한 원인에 대 
한 구체 적 인 정 보를 엄 을수 있 다. 그림 17-6 에 체 계감시화면 을 보여 준다. DEFCON 4 는 
체 계감시 결 과 보안상태 가 매 우 미 약한것 으로 평 가되 였 다. 원 인은 사건경 과기 록과 유지 시 
간이 정 확히 구성 되 지 못했기 때 문이 다. 모든 봉사기프로그람들이 이 특징 을 리용하도록 
보안방책이 설정되여 있으므로 KSA 는 이 체계에 대한 검열을 단념하였다. 화면의 오른 
쪽 아래창에 있는 Security Log Size 는 경 과기 록공간이 너 무 작아서 기 록입 구점 들을 충분 
한 기 간 보존할수 없다는것을 나타낸다. 

이 정보는 아주 쓸모가 있다. 왜냐하면 이 체계를 보안방책에 정확히 추종하도록 하 
기 위 하여 서 는 어 떤 설정항목들을 수정하여 야 하는가를 체 계관리 자가 정 확히 알수 있게 
하기 때문이다. 
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KSA 는 이 밖에 다른 특징 들도 가지 고 있다. 실례 로 KSA 기 본화면에서 등록고권한그 
림기 호를 찰칵하면 그림 17-7 에 보여 준 등록고권한화면 이 나타난다. 이 화면에 서 매 사 
용자 또는 그룹에 할당된 접 근권한을 조사할수 있다. 왼쪽판에 서 는 등록고를 항목별 로 
조사할수 있으며 오른쪽판에서는 누구에게 접근이 할당되였으며 어떤 준위의 허가가 보 
증되 는가를 조사할수 있다. 추가단추는 이 등록고열 쇠 를 특별 히 따로 취 급할수 있 게 
한다. 

허 가를 검 사하기 위하여 등록고의 전체 나무를 조사하는것 은 많은 시 간을 랑비한다. 
실제 로 규칙 적 인 점 검 에서 는 SAM 열쇠 와 같은 등록고열쇠 들만을 검 열한다. Favority keys 
표적 은 망관리 자가 기 본으로 검 사하려 는 열쇠 가 어 느것 인가를 지 적할수 있게 한다. 기 본 
열쇠들을 지적 한 다음 Favorit keys 표적 을 선택 하여 기본열쇠들을 하나의 구역 에서 볼수 
있 다. 이 러 한 기 능은 허 가설 정 을 검 사할 때 마다 매 번 등록고를 검 색 하여 야 하는 부담을 
덜어 준다. 

또 다른 유용한 기 능은 보고관리 기 능이 다. 이 기 능은 보고서 에 어 떤 정 보가 반영되 
는가를 선택하도록 함으로써 검 열처 리를 간단히 할수 있게 한다. 실례 로 매 봉사기 에서 
동작하는 모든 봉사들과 오유기록입구점들만을 포함하는 하나의 보고서 를 만들수 있다. 
이것은 모든 망봉사의 정상상태를 신속히 확인할수 있게 한다. 

결과대책 

검열이 끝난 다음에는 검열결과에 기초하여 대책을 취하여야 한다. KSA 는 보안에 
대한 정확한 의견을 주기때문에 아주 우수한 도구이다. 체계는 입력한 보안방책에 기 
초하여 확인된다. 이것은 체계가 임의로 정한 일부 표준들에 기초하여 검사되지 않는 
다는것을 의미한다. KSA 에서는 체계 가 이 미 결정하여 구성한 보안방책 에 추종하는가 
안하는가를 검사한다. 그러므로 KSA 는 임의의 망환경 에 적 응할수 있게 모형화할수도 
있 다. 


요 약 

이 장에서는 발견되는 약점들을 정상적으로 알고 있으려면 어떻게 하여야 하는가 
를 고찰하였 다. 또한 취 약성 을 찾기 위하여 어 떤 제 작자와 제3자의 자원을 리용할수 
있는가 그리고 어디에서 보안림시보수프로그람들을 엄을수 있으며 더 많은 정보를 얻 
기 위하여서는 우편목록과 뉴스그롭들을 리용한다는데 대하여 설명하였다. 끝으로 망 
환경에 대한 보안검열을 어떻게 진행하는가 그리고 이것을 지원하는 도구들에 대하여 
설 명 하였 다. 
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부록 1. CD-ROM 에 대하여 


CD - ROM 에는 망의 취 약성 을 식 별하고 고의적 인 공격 으로부터 망을 보안하는데 리 
용할수 있는 보안쏘프트웨어 제 품들이 포함되 여 있 다. Sybex 는 쏘프트웨 어 회 사들과의 
협력을 통하여 이 제품들을 사용자들에게 제공한다. 설치와 관련한 정보들을 아래에서 
설명 한다. 더 자세 한 정보에 대 하여서는 readme 파일을 참고하시오. 


죽 __°1 

이 제 품들을 설 치 하기 위 하여서 는 Windows NT 4.0 이 필요하다. 


방화벽 - l(FireWaH-l) 

CD 에 는 Check Point 쏘프트웨 어 기 술회 사에 의 하여 30일 평 가판본으로 제 공되 는 
FireWall -1 이 포함되여 있다. FireWall -1 은 다음의 조작체계들에서 동작시킬수 있다. 

• Windows NT 4 

• Windows 2000 

• Red Hat Linux 6.1 

• Sun Solaris 2.6，7 

• HP-UX 10.20，11.0 

• AIX 4.2.1，4.3.2，4.3.3 


주 의 

보안리유로 하여 Check Point 로부터 인증열쇠 를 받기전까지 는 FireWal 卜1의 
완전한 기능을 가진 평가판본을 설치하거나 가동시킬수 없다. 전자우편주소 
sale 9 checkpoint , com 으로부터 이 열쇠를 받을수 있 다. 사용자차림표는 
CD - ROM 에 서 FireWall -1/ Docs / Userguid 등록부에 있다. Gs . pdf 파일 을 열 
고 《Check Point Fire Wall -1 의 시작》에서 설치와 관련 한 내용들을 참고할 
수 있다. _ 


주 의 

Acrobat Reader 가 없 는 경 우에 는 CD - ROM 으로부터 직 접 설 치 할수 있 다. 
FireWall -1/ Docs / Pdfread 등록부에 서 조작체 계 에 맞는 설 치 파일 을 선 택 할수 
있 다. 


Windows NT 4.0 에서의 설치는 setup . exe 파일을 실행한 다음 설치사의 안내에 따 
라 설 치한다. 
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경 고 

현재 봉사를 운영하고 있는 봉사기에 방화벽견본제품을 설치하여서는 안된다. 방화 
벽견본제품은 현재의 봉사를 제한함으로써 정확한 가입을 방해하거나 또는 다른 목 
적에 맞게 봉사기를 리용할수 없게 한다. 


가디언 (Guardian) 

CD 에는 또한 NetGuard 회사에 의 하여 30일평 가판본으로 제공되는 Guardian 방화벽 
이 포함되여 있다. Netguard 등록부에서 setup.exe 파일을 기동하여 프로그람을 설치한 
다. 설치와 동작에 관한 정보들은 CD-ROM 에 PDF 형식으로 보관되여 있는 사용자안내 
서를 참고하시오. 


현재 봉사를 운영하고 있는 봉사기에 방화벽견본제품을 설치하여서는 안된다. 현재 
의 봉사를 제한함으로써 정확한 가입을 방해하거나 또는 다른 목적 에 맞게 봉사기 
를 리용할수 없게 한다. 


Guardian 방화벽과 관련 한 더 자세 한 정보들은 NetGuard 회사와 상담하여 야 한다. 

• NetGuard . Inc 

• 2445 Midway Road 

• Building 2 

• Carrollton . Texas 75006 

• 972-738-6900 

• sales 通 netguard . com 

• www . netguard . com 


인테 II 트스캐너 (Internet Scanner) 


인 터 네 트 보 안 체 계 ( ISS ) 회 사 는 자 기 의 완 전 한 망 보 안 취 약성 검 사 체 계 인 Internet 
Scanner 에 대하여 제품의 완전한 실행을 위하여서는 암호화된 사용권열쇠를 리용할것을 
요구한다. 


추 __°1 

ISS 로부터 확장된 평가판열쇠를 얻기 위하여서는 ISS 회사에 전자우편주소 sales 9 
iis.net 로 요구문서를 보내 야 한다. 전자우편에는 이름과 전자우편주소, 우편봉사기 
주소, 전화번호，망의 IP 주소범 위 등을 포함하여 야 한다. 허 용되 면 ISS 에 의하여 
사용권열쇠가 전자우편으로 주어 진다. 또는 전화번호 (888)901-7477 로 ISS 와 상담 
할수도 있다. 
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망감시 프로그람묶음 (NMS) 


CD 에 는 Lanware 회 사 가 30 일 평 가 판 본 으 로 제 공 한 Network Monitoring 
Suite ( NMS ) 가 포함되여 있다. NMS 는 경로기，집선기 ， Windows NT 워크스테 이션， 
Windows NT 봉사기， UNIX 봉사기 들로 구성된 망에서 중요한 요소들의 성능을 감시 하 
기 위 한 목적 으로 설계된 쏘프트웨 어 프로그람묶음이다. 

Web 페 지 www . lanware . net / download / eval / nms _ registration . asp 에 신 청 하 여 
NMS 의 30 일사용권을 받을수 있다. 

CD 의 Lanware 등록부에 서 setup . exe 파일 을 실 행 하여 프로그람들을 설 치 할수 있 
다. 설치 와 조작에 관한 더 자세한 정보를 얻기 위 하여서는 Lanware 회사와 상담하여 
야 한다. 


• Lanware , Inc 

• Sales 通 lanware . net 

• www . lanware . net 


WinZip 

CD 에는 Winzip Computing (이전에는 Nico Mak Computing 회사) 회사의 압축/해 
제프로그람인 Winzip 시험관이 포함되여 있다. 

CD 의 Winzip 등록부에서 setup . exe 파일을 실행시켜 설치한다. 


주 의 


CD 에 포함된 다른 제품들의 설치를 위하여 Winzip 가 필요하다. 



부 록 2. 망리용방책의 실례 


이 부록에서는 일부 망리용방책을 실례를 들어서 설명한다. 그러나 리상적인 망리용 
방책 은 산업 수요와 기 술갱 신과 갈은 끊임 없는 순환과정 을 거처서 만 완성될수 있 다. 


죽 __°1 

다음의 련결들은 실제의 망리용방책에 대한 두가지 실례이다. 하나는 회사이고 다른 
하나는 교육기관이 다. 


www.dmtnet.com/Intemetpolicy/policy.pdf 

www.oit.gatech.edu/security/policy/usage/contents.html 


효과적인 망리용방책의 원리 

망리용방책 을 평 가하는데서 전통적 으로 리용되 는 2개 의 원리 는 다음과 같다. 

소유총비용 (TC 이 

TCO 는 생 산성 과 자원 리용의 비 로 측정 된 다. 

생산성 망은 정 보이 동을 쉽 게 하여 생 산성 을 높이 기 위하여 존재한다. 리 론적 으 
로 이 생 산성 은 기 업 관리 가 적 당한 망리용과 높은 생 산성 을 담보할수 있 
도록 진행되고 있는가에 따라 측정된다. 

자원리용 회사안의 자원리용은 합리적이여야 한다. 회사에 손해를 주는 망동작은 
비 용측면 에 서 합리 적 이 라고 볼수 없 다. 망리 용방책 은 자원 리용에 서 합리 적 
인 망동작들을 정의함으로써 기 타 불필요한 다른 망동작들은 자동적 으로 
금지시킬수 있어야 한다. 


우 I 험경감 

보안방책은 회사의 법적책임을 리치에 맞지 않게 손상시키거나 기밀정보를 침해하 
는것 또는 기관의 부정공개와 갈은 망동작들을 정의함으로써 정보활동의 위협을 감소 
시킨 다. 


법적책임 각종 차별을 고려한 이러한 정보들은 확장되여 회사에 법적책임을 지 
우는 다른 동신들을 포함한다. 

기밀정보 경쟁대상에게 리익을 주는 정보들을 말한다. 경쟁자들이 맹렬히 조사하 
는 분야의 정보들이 여기에 포함된다. 
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인기저락 기관에 대한 부정적인 영상을 줄수 있는 통신 또는 자원리용은 수출감 
소와 수입감소를 초래하여 기관의 기업활동에 직접 영향을 미친다. 


개 발 과 정 

특정기관에서의 세부조정을 위한 처리는 다음의 단계들을 거치게 된다. 

조건분석 첫 단계는 망을 리용하는 기관에서 모든 부서들의 자료조사에 의 하여 
실행된다. 이것은 포괄적인 방책을 세울수 있게 할뿐아니라 직원들의 정보 
지원과 교육을 쉽게 할수 있게 한다. 

• 회사의 어느 부서(또는 개인)가 어떤 형태의 망접근을 필요로 하는가? 

• 그들이 필요로 하는 망봉사는 무엇인가? 

• 현재의 접근방법(시간과 위치를 포함하여)은 어떠한가? 

• 어떤 응용프로그람들이 인터네트와 통합되여야 하는가? 

• 기밀자료는 무엇으로 구성되는가? 

• 측정할수 있는 생산성지표는 무엇이며 망자원을 어떻게 리용하여 이 지 
표들을 달성 하는가? 

• 망자원에 대하여 있을수 있는 위험들은 무엇인가?(실례로 회사에 대한 
정탐활동，법적책임，부정공개) 

• 직원감시와 개인비밀을 둘러 싸고 벌어 지는 법적인 론쟁점들은 무엇인가? 

정의 두번째 단계에서는 보안방책을 만들기 위하여 첫번째 단계에서 수집한 정 
보들을 종합한다. 내용은 다음과 갈다. 

• 전체 회사의 관점/사명，핵심기업처리/응용프로그람，개인/집단의 역할에 
맞게 접수할수 있는 리용들을 정의 한다. 

• 기밀자료，처리，자원의 정의와 실례 

• 회사에 대한 정탐활동，법적책임，부정공개를 포함하여 자료에 대한 위험 

• 적당한 비밀통신과 직원승인절차의 정의와 실례，그와 함께 종업원들의 
통신을 감시한다는 취지의 선포 

• 벌금처리와 항의처리를 포함한 보안방책위반의 결과 

• 보안방책에 대한 의견제기와 수정절차 

• 보안방책의 보급방법 

실현 세번째 단계는 보안방책의 실현이다. 실현은 크게 두 단계로 구성된다. 

• 보안방책의 보급과 종업원들에 대한 교육 

• 보안방책의 실시 

조사 마지막 단계는 보안방책의 기준으로 되는 두가지 원리 즉 소유총비용과 위 
험경감에 대한 보안방책의 효과성을 조사하는것 이다. 만일 보안방책 이 이 
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원리들을 만족시키지 못한다면 개발과정을 다시 반복한다. 


Fubar 회사에서 개발한 보안방책의 실례를 보기로 하자. Fubar 는 여러가지 탁상응용프 
로그람들을 개발하고 있다. 대표적인 프로그람들로서는 회의일정계획을 세우는 
FuMeeting 과 직원자료기지체계인 FuHR 이다. 회사의 기본청사는 뉴욕에 있으며 작은 판 
매 점 들이 싼띠 아고에 있 다. 이 관매 점 들은 128 K 프레 임중계련결 을 통하여 기 본청 사에 련 
결된다. 회사는 또한 인터네트와 T 1 련결로 결합되여 있다. 

회 사에 서 근무하는 직 원들은 200명 이상이 며 절 반이 상이 프로그람작성 자들이 다. 
Fubar 는 매 우 현대 적 인 원격 처 리 보안방책 을 가지 고 있으며 매 프로그람작성 자들은 
매주 하루씩 집에서 작업할수 있게 되여 있다. Fubar 의 판매점직원들은 제품광고를 
하고 전화련계를 가지면서 대부분의 시간을 로상에서 보낸다. 많은 직원들이 자기의 
사무실 을 떠나서 작업 하기때 문에 Fubar 는 2개 의 원격접 근방법 을 배비 하였 다. 원격접 
근은 모뎀풀을 리용한 전화가입과 특정한 VPN 쏘프트웨어를 리용한 인터네트련결로 
제공된다. 

원격련결을 통하여 망에 입 력된 정보의 기밀성은 정 확히 조정된다. 프로그람작성 자 
들이 최신프로그람코드와 작업하기때문에 이러한 정보가 경쟁대상의 손에 들어 가면 
Fubar 는 큰 손실을 보게 된다. 판매 점정 보는 기밀로 처 리 한다. 그것은 새 로운 제 품출하에 
대 한 정 보가 경 쟁 대 상들의 손에 들어 갈수 있기 때 문이 다. 

범 위 

이 문서의 유효범위는 정 확한 망리용에 대 한 회 사들의 보안방책 을 정의할 때 이 다. 
회 사망에는 리윤률을 지 향한 신용 있는 투자가 동반된 다. 망은 생 산성 을 높이 고 작업흐 
름의 효과성 을 높이 기 위하여 설 치된다. 망의 요소들은 다음과 같다. 

• 음성 과 정 보를 나르는 모든 케 블 

• 음성과 정보의 흐름을 조종하는 모든 장치 

• 감시기，틀，기 억 장치，모뎀，망기 판，기 억 소편，건반，마우스，망기 판，케 블을 
포함한 모든 콤퓨터요소들 

• 모든 를퓨터 쏘프트웨어 

• 인쇄기와 팍스장치를 포함한 모든 출력장치 

이 문서 에 서 서 술한 보안지침 을 준수하도록 하기 위하여 범할수 있는 결 함에 
대 한 훈련과정 이 매 사건을 기 준으로 규정되 여 있다. 회 사는 지 역 또는 국가，련 방 
법이 적용되지 않을 때 또는 재정손실을 입었을 때 법적문제를 수사할수 있는 권한 
을 가진다. 
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망 관 리 


탁상체계의 구성변경을 포함하여 망의 모든 유지는 관리성원들에 의하여 유일적으로 
진행된다. 관리성원이 아닌 직원들은 체계변경과 지어는 자기의 워크스테이션에 대하여 
서도 변경을 할수 없다. 다음의 동작들이 체계변경에 영향을 준다. 

• 새로운 위치로 옮기면서 체계의 망기능을 변경 

• 플로피디스크구동기를 리용하여 체계를 다른 조작체계로 기동 

• 체계의 틀 또는 씌우개의 해제 

• 인터네트에서 내리적재한 쏘프트웨어를 포함하여 쏘프트웨어묶음의 설치 

사용자의 부주의로 인하여 보증이 무효로 되거나 고의적으로 보안예방책을 우회하려 
는 시도를 제한하기 위하여 하드웨어관리를 제한한다. 쏘프트웨어사용권에 대한 법을 준 
수하도록 하기 위하여 쏘프트웨어설치를 제한한다. 이러한 대책은 내부관리진영에 의하 
여 제 공된 쏘프트웨 어 자원만을 리 용하도록 함으로써 쏘프트웨 어 의 비 호환성 문제 를 피 할 
수 있게 한다. 


■과암호에 대한 요구사항 

매 직원들에게는 망자원에 접근할수 있는 고유한 가입등록이름이 부여된다. 매 가입 
등록이름은 또한 통과암호와 결합되 여 야 한다. 

통과암호는 권한이 부여된 사용자가 고유한 가입등록이름을 가지고 망자원에 접근한 
다는것을 확인할수 있게 한다. 자기의 통과암호를 비밀로 보존하는것은 매 직원들의 책 
임에 속한다. 통과암호는 다음의 지침에 따라서 리용되여야 한다. 

• 통과암호는 최소한 여섯문자여 야 한다. 

• 통과암호는 흔히 쓰는 공통적 인 단어 또는 직원의 이름，가입등록이름，봉사 
기 이름，회사이름과 류사하게 구성 할수 없다. 

• 직원들은 60일에 한번씩 자기의 통과암호를 변경시켜야 한다. 이렇게 하지 
않을 때에는 통과암호를 무효화시킨다. 무효구좌를 다시 유효로 하는것은 망 
관리진영 과 접 촉할수 있는 자기 의 직 속관리 자에 의 하여 서 만 진행 된다. 

• 인증할 때 직 원들은 3번이내 에 자기의 정 확한 통과암호를 입 력하여 야 한다. 
3번의 가입시도가 모두 실패한 경우 구좌는 무효화된다. 이 렇게 무효화된 구 
좌를 다시 복귀하는것 은 망관리진영 과 접 촉하는 자기 의 직 속관리 자에 의하여 
진행된다. 

• 회 사안의 모든 콤퓨터 는 15 min 이 상 비활동상태 이 면 동작하는 화면 보호기 를 
리용하여 야 한다. 일 단 화면보호기 가 동작하면 사용자는 가입이 름과 통과암 
호로 다시 가입하여 야만 망접 근을 할수 잇다. 

• 망에 대 한 원격접 근은 모뎀풀을 리용한 전화가입 또는 인 터네 트기 반 VPN 을 
통하여 이루어 진다. 이때 직원들에게는 60 s 마다 새로운 통과암호를 발생하 
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는 보안통표가 발행된다. 보안통표에 의하여 발생된 통과암호는 직원들이 망 
에 원격으로 접속할 때 리용된다. 

• 통과암호는 비밀로 보관되여야 한다. 직원들은 통과암호를 써놓거나 다른 사 
람과 공유하지 말아야 한다. 자기의 직속관리자와 인사관리성원에 의하여 통 
과암호를 넘겨 주어야 하는 경우는 제외된다. 

• 회사망의 외부에서 접근할 때에는 내부망에서 리용하던 통과암호와는 다른것 
을 사용하여 야 한다. 이 렇 게 함으로써 중요한 통과암호문자렬 이 다른 망으로 
전송되지 않도륵 하여야 한다. 회사내부체계에 대한 문제에 대하여서는 자기 
의 직속관리자 또는 망관리성원에게만 질문할수 있다. 

• 회사는 이와 같은 지침에 따라 자기의 통과암호를 비밀로 보존하며 만일 직 
원이 자기의 잘못으로 인하여 초래되는 손해에 대하여서는 책임지도록 할수 
있는 권한을 가진다. 

엄격한 통과암호보안방책은 모든 망자원을 안전하게 유지할수 있는 담보를 준다. 

비루스예방방책 

모든 를퓨터체계는 반비루 스쏘프트웨 어에 의하여 보호된다. 자기의 체계에서 동작하 
는 비루 스쏘프트웨 어를 발견 하는 책임은 직원에게 있다. 체계에서 동작하고 있는 반비루 
스쏘프트웨 어에 의하여 어떤 류형의 경고가 울리면 직원은 즉시 에 체계 리 용을 중지 하고 
망관리성원 또는 자기의 직속관리 자와 상담하여 야 한다. 

최근의 반비루스쏘프트웨어를 유지하는 책임은 망관리진영성원들에게 있다. 이 프 
로그람은 직원이 망에 련결되는 기간 자동적인 처리로 실행된다. 자기의 반비루스쏘프 
트웨어 가 60일동안에 한번도 갱 신되 지 않은 경 우 직 원들은 망관리성 원들에 게 제 기하여 
야 한다. 


워크스테이션여벌복사방책 

망관리성원은 한주일을 기준으로 매 직원들의 워크스테이션에 보관된 문서들에 대하 
여 여 벌복사처 리 를 진행한다. 매 직 원들은 매 주마다 한번씩 정 해 진 날에 워 크스테 이 션 
의 전원을 켜놓은 상태로 뢰근하여야 한다. 이때 직원들은 체계에서 탈퇴는 하지만 체계 
의 전원은 켜놓아야 한다. 정 확한 자기날자에 체 계의 전원을 켜놓은 상태 로 두는것은 직 
원들의 책임이다. 직원들은 자기의 직속관리자와 토론하여 자기에게 어느 날이 배정되였 
는가를 알아야 한다. 

직원들이 사용하는 워크스테 이션에서는 C:\My Documents 안에 있는 문서들만 여벌로 
보관된다. 다른 등록부에 있는 문서들은 제외된다. 직원들은 모든 문서들을 이 등록부에 
보관하여야 할 책임을 지닌다. 회사에 의하여 개발된 응용프로그람들은 기정으로 이 등 
륵부의 파일을 보관하도록 설계된다. 
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원격 망접근 

회 사는 망자원에 대 한 원격련결을 위하여 전화가입모뎀풀들과 인터네 트기 반 VPN 을 
제 공한다. 이것은 원격망접 근을 위하여 유일하게 허 용된 방법들이 다. 탁상체 계 를 비롯하 
여 망의 임의의 부분에 모뎀 을 리용하여 전화회선과 련결하는것은 엄격 히 금지되 여 있으 
며 즉시 해고될수 있는 전제로 된다. 

원격망접 근은 필 요한 경 우에 만 제 공한다. 망자원 에 대 한 원격접 근을 요구하는 직 원 
은 자기의 직속관리자를 통하여 망관리부서에 요구문건을 보내야 한다. 그러면 직원들에 
게 다음의 정보들이 제공된다. 

• 망자원접 근을 위한 보안통표 

• 모뎀풀전화번호목록 

• 인 터네 트우에 서 암호화된 VPN 대 화를 창조하기 위하여 요구되 는 쏘프트웨 어 

• VPN 쏘프트웨어 를 설 치하는 방향 

• 망에 원격으로 접근하는 방향 

회 사는 망체 계 가 직 원들의 원격 접 근리용계 획 을 지 원하여 야 한다는 책 임은 지 지 않는 
다. 직원들은 쏘프트웨어를 접수하고 원격접근을 지원하는데 필요한 모든 갱신을 진행하 
고 그것에 대한 책임을 지는데 동의해야 한다. 여기에는 곡 제한되지는 않지만 다음의 
요소들이 포함된다. 

• 전화회선 

• 모뎀 

• 고속처 리 기 

• 추가적인 디스크구동기공간 

원격접근에 대한 지원은 망관리진영에 의하여 망주변까지를 포함한 망내부에 대하여 
서만 제공된다. 직원들은 이 유효범위밖에 대한 련결상문제들에 대하여서는 자기자체가 
지원할 책임을 지닌다. 

직 원들은 원격망접근과 관련한 모든 정 보들을 비밀로 한다는데 동의한다. 직 원들은 
통과암호정 보를 로출시키 지 않는다. 또한 VPN 쏘프트웨어 의 복사본을 만들지 않으며 지 
어 다른 직 원들을 위 하여 서 도 복사본을 만들수 없 다. 원격접 근과 관련한 세 부정 보들을 
전파하는것은 보안위반으로서 즉시에 해고될수 있는 전제로 된다. 

일반적인 인테 II 트접근방책 

인 터네 트기 반싸이트에 대 한 접 근을 위하여 리용되 는 자원을 포함하여 회 사의 모든 
망자원은 공적 인 작업 과 관련한 의무를 수행 한다는 명백한 목적 에서 만 리 용된다. 모든 
직원들에게 곡같이 적용되는 이러한 접근방책은 망관련자원의 효과적인 리용을 담보한다. 
직속관리자는 이러한 접근방책의 유효범위밖에서의 망자원리용이 다음의 조건에 맞을 때 
옳다고 인정한다. 
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• 망자원의 의 도적 인 리 용은 허 용된 다. 

• 망자원의 의도적 인 리용은 직원의 합법적 인 의무수행을 방해하지 않는다. 

• 망자원의 의도적인 리용은 합법적인 회사관련사업을 위하여 필요하다. 

• 망자원의 의도적인 리용은 교육목적을 위하여 필요하며 직원의 직업기능의 
유효범위안에서 진행된다. 

• 망자원의 의도적 인 리용은 지역 또는 국가，련방법에 위반되지 말아야 한다. 

• 망자원의 의도적인 리용은 망의 과부하를 초래해서는 안된다. 

인테^트 Web 싸이트접근방책 

인터네 트 Web 싸이트에 접 근할 때 직 원들은 회 사표준에 맞는 Web 열 람기 를 리 용하여 
야 한다. 이 표준은 다음의 구성 을 가진 Internet Explorer 5.5 의 사용을 요구한다. 

• 추가적인 기능추가가 없다. 

• Java, JavaScript, ActiveX 는 지원되지 않는다. 

• Cookie 는 지원되지 않는다. 

이 설정은 직원들이 인터네트 Web 봉사기를 방문할 때 부주의로 부당한 응용프로그람 
들이 적재될수 없게 한다. 이 보안설정에 부합되지 않는 경우에는 인터네트접근권한을 
박랄한다. Web 열 람기 는 오직 망관리 담당자에 의 해 서 만 설 치 되 여 야 한다. 정 확한 쏘프트 
웨 어사용권을 유지 하기 위 하여서 는 직 원들이 열 람기 쏘프트웨어 를 검 색하거 나 다른 자원 
으로부터 갱 신하는것 을 금지해 야 한다. 자기 의 열 람기 가 회 사표준과 맞는가를 확인 할수 
없는 경우에는 망관리자들과 상담하여야 한다. 

인테^트우편과 뉴스그룹접근방책 

내 부와 외 부에 로의 인 터네 트우편통보문은 8 MB 로 최 대 크기 가 제 한된 다. 이 요구를 
초과하는 파일 을 전송하려 는 경 우에 는 망관리 자들과 상담하여 회 사의 FTP 봉사기 를 리용 
하여 야 한다. 이 제 한은 큰 전자우편통보문이 모든 회 사통보문들의 흐름에 영 향을 미치 
지 않도록 하기 위하여 실시된다. 

인터네트우편목록 또는 뉴스그룹에 전송되는 모든 통보문들에는 회사부인성명을 포 
함시켜 야 한다. 부인성 명 은《 이 통보문에 반영된 견해 는 회 사측의 관점 을 반영하지 않 
는다.》이 다. 

회사는 이 러한 전송을 감시하며 이 부인성명을 포함하지 않은 통보문을 폐기할수 있 
는 권한을 가진다. 

개인의 인테 dl 트구좌 

회사의 망자원은 개인의 인터네트구좌에 접근하는데 리용되지 않는다. 여기에는 다 
음의 구좌들이 포함된다. 
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• 개인의 전자우편구좌 

• 개인의 쉴구좌 

• AOL 또는 CompuServe 와 같은 봉사제공자를 가진 개 인구좌 


직 결봉사에 있 는 개 인구좌는 회 사체 계 로부터 접 근될 수 없 다. 또한 인 터네 트체 계 에 
존재하는 회 사구좌 또는 서 명 들을 포함할수 없 다. 회 사구좌에 대 한 접 근은 접 수할수 있 
는가를 고려한다. 즉 접근이 직원들의 직업적의무와 관련될 때에만 제공된다. 

비밀과 경과기록 

회 사의 모든 망자원은 오직 회 사자체 의 소유라는것 이 회 사의 립장이 다. 제 한되 지 
는 않지만 여기에는 전자우편통보문과 보관된 파일，망전송 등이 포함된다. 회사는 모 
든 망동작을 감시하고 경과를 기록할수 있는 권한을 가진다. 직원들은 자기의 직속관 
리자 또는 인사관리성원들이 요구할 때에만 통과암호와 파일，다른 요구자원들을 넘 
겨 줄수 있다. 


추가정보 

이 문서안의 정 보와 관련 한 질 문과 특별 히 설 명하지 않은 문제 점 들에 대 하여 서 는 자 
기 의 중계관리 자에 게 제 기하여 야 한다. 중계관리 자는 모든 질 문들을 망관리 부서 와 인사 
관리부서，기 타 적 당한 대 방들에 중계할 책 임을 지 닌다. 
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색 


인 


가 는 망 케 블 고 장 (Thinnet cabling failures) 
344 

1 EXH 1 1 (hijacking) 275, 391 
가벼운 등록부접근규약 [Lightweight 
Directory Access Protocol (LDAP)] 163 
가상국부망 [virtual local area 
network(VLAN)] 118 
가상기억 (virtual memory) 377 
가상사설망 [Virtual Private Network(VPN)] 
162, 294 
가입 (Login) 382 
가입기발 (Logon banner) 442 
가입데몬 [login daemon(UNIX)] 480, 481 
가입 시 간제 한화면 [Login Time Restrictions 
screen (NetWare)] 383 
1 1 ■입 제 한단추 [Logon Restrictions 
button(NetWare)] 383 
감시 (monitoring) 268 

거 리 백토르경로조종 (distance vector routing) 
60 

거부명령 (deny statements) 180 
거울화 (mirroring) 343 
검사 (Testing) 365 
검색엔진 (search engines) 495 
검열 (auditing) 389 

검열단추 [Auditing button(Shared Documents 
Properties dialog box)] 421 
검 열 도구프로그람 [Auditcon(NetWare)] 389 
검열합확인 (checksum verifications) 333 
검열원칙창문 [Audit Policy window 
(Windows NT)] 426 
검은모자해커 (black hat hackers) 20 
경과기록 (Logging, logs) 354, 389 
경로기 (routers) 58 
경로기교환 (router switching) 122 


경로기형 VPN(router_based VPN) 302 
경로순환고리 (routing loop) 66 
경로조종 (routing) 59 

경 로조종불가능한 통신 규약 (Non-routable 
protocols) 57 

경 로조종정 보규 약 [routing information 
protocol(RIP)] 60 
경로조종표 (routing tables) 59 
고정된 주파수신호 (fixed frequency signals) 
103 

공간전송 (space - based transmissions) 103 
공격 (attacks) 19 

공격개시 (Launching attacks) 275, 506 
공격정보수집 (collecting information for 
attacks) 490 

공격징후 (attack signatures) 195 
공격에 대한 취약성감소 (reducing 
vulnerability to attack) 518 
공개/비공개암호열쇠 (public/private crypto 
keys) 281 

공개열쇠 (public keys) 281 
공개 열쇠 증서 봉사 (public key certificate 
services) 447 

공개 열쇠 하부구조 [Public Key Infrastructure 
(Windows PKI)] 448 
공개 열쇠 하부구조봉사 [Public Key 
Infrastructure Service (NetWare PKIS)] 391 
공유문서 속성 대 화칸 [Shared Documents 
Properties dialog box (Windows NT)] 417 
공유허가대화칸을 틍한 접근 [Access 
Through Share Permissions dialog box 
(Windows NT)] 418 
교환기 (switches) 116 
교환기경로조종 (switch routing) 122 
구성파일의 보관 (saving configuration files) 
354 

구좌관리 (account management) 381 
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구좌원칙창문 [Account Policy window 
(Windows NT)] 409 

굵은망케블고장 (Thicknet cabling failures) 344 
규칙모임 [rule sets(FireWall-l)] 231 
규약 (protocols) 51 
그룹，집단 (groups) 460 
그룹성원단추 [Group Membership button 
(NetWare)] 386 

그룹식별자 [Group ID(GID)] 456 
그■파일 [group file(UNIX)] 464 
그림자통과암호 (shadow passwords) 464 
기관증명서권한 [Organizational CA 
(certificate authorities) (NetWare)] 395 
기동규약봉사기 (bootp server) 477 
기동관리자구성 (boot manager configuration) 
476 

기발 (flags) 69,128 
기발마당 (flag field) 128 
기 정 사용자속성 창문 [Default User Properties 
windows (Windows NT)] 415 
J I 정 콤퓨터 속성 창문 [Default Computer 
Properties windows (Windows NT)] 416 
기억 기 상주형 U I 루스스캐 너 (memory-resident 
virus scanners) 336 ， 339 
개량암호화규격 [Advanced Encryption 
Standard(AES)] 286 

개인의 인테 II 트구조ᅡ (personal Mernet - 
based accounts) 547 
계승권한마스크 [inherited rights mask 
(NetWare)] 387 

계층- 3 교환 (Layer - 3 swiching) 122 
계층 2 련결규약 [L2TP(Layer Two Tunneling 
Protocol)] 288 

과정감시 (process monitoring) 333 
관리자대화칸 [Administrators dialog 
box(FireWall-l)] 218 
관문 (gateways) 58 
광지역망 (wide area networks) 108 
광지역망의 위상구조 [WAN(wide area 
network) topologies] 108 


높은 급의 공격 (high-profile attacks) 24 
는물방울공격 (teardrop attacks) 242 
뉴스그룹 (Newsgroups) 547 
뉴스봉사기 [UNIX] [News server(UNIX)] 481 
능동등록부 (Active Directory) 449 
내부공격 (internal attacks) 248 

ᄃ 

다중문자렬 편 집 기 [Multi-String Editor 
(Windows NT)] 439 

다중정 보계 산체 계 [Multiplex Information 
Computing System(MULTICS)] 453 
다원비루스 (multi-partite viruses) 323 
단순망관리규약 (Simple Network 
Management Protocol) 93 
단순우편 전송규약 [Simple Mail Transfer 
Protocol (SMTP)] 92 
단일고장점 (single points of failure) 352 
도약 (hops) 58 

동적접근목록 (dynamic access lists) 190 
동적주소변환 (dynamic address translation) 201 
동적파케트려과 (dynamic packet filtering) 137 
동적 호스트구성 규약 [DHCP(Dynamic Host 
Configuration Protocol)] 82 
등록고 (Registry) 211 
등록고권한화면 [Registry Rights 
window(Kane Security Abalyst)] 536 
등록고편집 ) I [Registry Editor(Windows)] 

438 

등록부검열창문 [Directory Auditing window 
(Windows NT)] 422 

등록부허 1 1 ■대 화칸 [Directory Permissions 
dialog box (Windows NT)] 420 
디스크거울화 (disk mirroring) 358 
디스크중복 (disk duplexing) 357 
디 피 - 헬 만인 증 (Diffie-Hellman authentication) 
281 
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대리자 (proxies) 143 
대리자의로 I 기 (proxy clients) 146 
대면부속성화면(방화벽- 1) [Interface 
Properties screen(FireWall- 1 )] 222 
대화가로재기 (session hijacking) 275 
대화층 (session layer) 54 
데몬 (daemons) 152 

ᄅ 

려 과기 구성 차림 표 [Filter Configuration menu 
(NetWare)] 392 

려과기정의화면 [Define Filter screen(NetWare)] 
394 

련 결 상태 경 로조종 (Link state routing) 67 
련결상태 방법에서 수렴시간 (convergence 
time with link state) 68 
련결조종마당 (connection control field) 70 
덜인쇄기데몬 [Line printer daemon(lpd)] 429 
령역 (domains) 404 
령 역 신로 I (domain trusts) 404 
령역조종기 (domain controllers) 404 
령역이름봉사 [Domain Name Services(DNS)] 
84 

론리적망 (Logical networks) 57 
리눅스 (Linux) 455 

□ 

마디점주소 (Node addresses) 48 
마지 막가입 이 름숨기 기 (hiding last logon 
name) 443 

마크로비루스 (macro viruses) 323 
마크로웜 (macro worms) 330 
막기 (blocking) 125,203 
말단경과기록 (terminal logging) 354 
말단통과암호 (terminal password) 172 
망뉴스전송규약 [Network news transfer 
Protocol (NNTP)] 91 
망다리 (bridges) 113 


망리용방책의 범위 (scope of network usage 
policy) 543 

망리용방책의 원리 (principles of network 
usage policy) 541 
망봉사 (Network services) 74 
망수감기화면 [Network Sensor screen 
(RealSecure)] 262 

망시간규약 [Network Time Protocol(NTP)] 171 
망전송 (Network transmissions) 197 
망정보봉사 + [Information Services Plus 
(NIS+)] 461 

망정보의 전파 (propagating network 
information) 60,67 
망조사 (probing networks) 496 
망주소 (Network addresses) 54 
망주소변환 [NAT(network address translation)] 
157 

망주소변환장치 (NAT devices) 82 
망주소제한화면 [Network Address Restriction 
screen(NetWare)] 384 
망재난 (Network disasters) 344 
망층 (Network layer) 54 
망동신 (Network communications) 46 
망파일체계 [Network file system(NFS)] 90 
망파일체계 봉사기 (NFS server) 482 
망련결하드웨어 (Networking hardware) 112 
머리부 (headers) 46,242 
모듈선택창문의 설정 [Set Module Options 
window(UNIX)] 477 
목표선 택 설정 창문 [Target Options 
window(Octopus)] 373 

무료접근열쇠 결정 (Oakley Key Determination) 
450 

무선기술 (wireless technologies) 113 
무선파 (radio waves) 103 
무접속형망통신 (connectionless network 
communications) 71 

무정전전원 [uninterruptible power supply 
(UPS)] 356 

문맥에 기초한 접근조종 [context-based 
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access control(CBAC)] 194 
문서화 (documenting) 366 
물리자원분석 (physical resource analysis) 29 
물리적접근공격 (physical access attacks) 516 
물리층 (physical layer) 53 
매체고장 (media failures) 344 
매체 접 근조종주소 [MAC(media access 
control) addresses] 48 

ᄇ 

바운스싸이트와 스머프공격 (Bounce sites 
and Smurf attacks) 514 
반복기 (repeaters) 112 

반비 루스쏘프트웨 어 (anti—virus software) 322 
반사적접근목록 (reflexive access lists) 191 
반송 파수 감다 중 접근 충돌 검출 [Carrier Sense 
Multiple Access with collision Detection 
(CSMA/CD)] 106 

발견적스캐 U (heuristic scanners) 336 
방송주소 (broadcast address) 48 
방화벽관리를 위한 OpenBSD(OpenBSD for 
firewall administration) 154 
방화벽 (firewalls) 124 
방화벽- 1 원칙편집기 (FireWaU-1 Policy 
Editor) 219 

방화벽- l(FireWaU-l) 205 
방화벽- 1 모듈의 고장극복성 (fault tolerance 
of FireWaU-1 Modules) 208 
방화벽- 1 을 위한 봉사기관리 (Management 
Server for FireWaU-l) 205 
방화벽- 1 에서 제 3 자의 장치관리 (Third-party 
device management with FireWall-1) 208 
방화벽-[의 경고 (Alerts for FireWall-1) 223 
방화벽- 1 의 부하균형 (Load balancing with 
FireWall-1) 208 

방화벽 시 험 시 접 속성 보안 (connectivity 
security during firewall testing) 212 
방화벽 조수우편 목록 (FirewaU-Wizards 
mailing list) 529 


방화벽을 위한 제 3 자의 도구 (third-party 
tools for firewalls) 164 
방화벽형 VPN(firewaU_based VPN) 302 
방화벽의 플래트혿 (platforms for firewalls) 
149 

버클리인테^트이■령역봉사기 

[BIND(Berkeley Internet Name Domain) 
server] 487 

별형위상구조 (star topology) 349 
보기 (viewing) 422 
보안 (security) 19 

보안검열창문의 기동 [Run Security Audit 
window(Kane Security Analyst)] 532 
보안결점취약성 자료기지 (Security Bugware 
vulnerability databases) 526 
보안구좌관리자 [Security Account Manager 
(SAM)] 408 

보안관련 뉴스그름 (security-related 
newsgroups) 524 

보안등가단추 [Security Equal to button 
(NetWare)] 386 

보안봉사기 (security servers) 206 
보안분석기 (Security Analyzer) 505 
보안식 별 자 [SIDs(Security Identifiers)] 407 
보안정돈표식 [security clearance labels 
(NetWare)] 397 

보안조종탁 [Secure Console(NetWare)] 398 
보안통표 (security tokens) 291 
보안예산 (budgets for security) 35 
보안에 대한 외부공격 (external attacks on 
security) 22 

보안우 I 험평가 (evaluating security risks) 32 
보안원칙 (security policies) 36 
보안원칙집행 (enforcing security policies) 39 
봉사 (services) 75 

봉사거 부공격 [DoS(Denia 卜 of_Service)attacks] 
31 

봉사기 (servers) 355 

봉사기형방화벽을 위한 마킨토쉬 OS 

(Macintosh OS fca* server-based firewalls) 150 
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봉사기형방화벽 (server-based firewalls) 150 
봉사기회복 (server recovery) 364 
봉사포구 (service ports) 130 
부가처리 (Overhead) 99 
부분망 (subnets) 57 
부트규약 (bootp(boot protocol)) 82 
분산스펙 트르신 호 (spread spectrum signals) 104 
분산요소객 체 모형 [DCOM(Distributed 
Component Object Model)] 438 
불복종 (Noncompliance) 38 
블로크암호 (block cipher) 279 
ᄇ I 동곳 | 전송방식 [ATM(asynchronous transfer 
mode)] 111 
비루스 (viruses) 319 
비루스령역 (virus domains) 336 
비루스보호 (protecting against viruses) 325 ， 
340 

비루스복제 (replicating viruses) 320 
비루스스캐너 (virus scanners) 334 
비루스잠복을 위한 속성조작 (attribute 
manipulation to conceal viruses) 324 
비루스예방원칙 (virus prevention policy) 545 
비루스의 기동분구복제 (boot sector 
replication of viruses) 322 
비루스의 다형성돌연변이 (polymorphic 
mutation of viruses) 326 
비루스의 크기 (size of viruses) 323 
비무장지대 (DMZ(demilitarized zone)) 166 
비 밀 열쇠 알고리 듬 (secret key algorithms) 281 
비상회복디스크 (emergency recovery disks) 408 
비속박매체 (unbound medium) 103 
비속박전송 (unbound transmissions) 103 
비정상완료 [ABENDS(abnormal ends)] 378 
비용 (costs) 28 
비콘 (beacon) 348 

빚분산과 빚섬유케블 (Light dispersion and 
fiber optic cable) 102 
빚섬유케블 (fiber optic cable) 101 
빚전송 (Light transmissions) 103 
배비 (deploying) 159 


배회프로필 (roaming profile) 413 

人 

사건 기 록설 정 창문 [Event Log Settings 
window(Windows NT)] 423 
사건보기 (Event Viewer) 422 
사건보기기록의 원격보기 (remote viewing 
of Event Viewer logs) 424 
사건보기에서 경과기록의 자동점검 
(automated log review in Event Viewer) 425 
사설주소배당 (private addressing) 158 
시■전피■일 (dictionary files) 463 
사용자식별자 [User ID(UID)] 456 
산업 정 a (industrial espionage) 22 
상태려과 (stateful filtering) 143 
상태표 (state table) 137 
설치경로대화칸 [Install Paths dialog box 
(Octopus)] 369 
설치점 (mount points) 456 
설치원칙대화칸 [Install Policy dialog box 
(FireWall - 1)] 240 
성능 (performance) 210 
소유권단추 [Ownership button(Shared 
Documents Properties dialog box)] 422 
소유총비용과 망리용방책 [total cost of 
ownership(TCO) and network usage 
policies] 541 

속성설정화면 [Properties Setup screen 
(FireWaU-l 을 참고 )] 233 
속이기 (hoaxes) 327 
속임(거짓) (spoofing) 77 
속임수려과기 (spoofing filter) 184 
수감기속성화면 [Sensor Properties screen 
(RealSecure)] 266 

수동적인 취약성검 M(manual vulnerability 
checks) 503 

수명시간 [time to live(TTL)] 85 
수자식 종합통신 망 [ISDN(Integrated Services 
Digital NetWork) media failures] 351 
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수자식 종합통신 망배체 고장 [Integrated 
Services Digital Network(ISDN) media 
failures] 351 

수자식 증명 서 봉사기 (digital certificate 
servers) 286 

수자■신 (digital communications) 98 
수정보충과 갱신 (patches and updates) 519 
순환여유검사 [CRC(Cyclic Redundancy 
Check)] 47 

숨은 NAT[hiding NAT(network address 
translation)] 159 

숨겨 진 관리자구좌 (hidden administrator 
accounts) 507 

스마트카드 (smart cards) 396, 451 
스머프공격 (Smurf attacks) 202 
스텔스와 비루스잠복 (stealth and virus 
concealment) 325 
스팹 (spamming) 24 

시간참조봉사기 (time reference server) 482 
식별단추 [Identification button(NetWare)] 381 
실패한 가입시도，검열 (failed logon 
attempts, auditing) 384 

실행가능파일들과 접근조종원칙 (executable 
files and access control policies) 332 

ᄌ 

자동적인 취약성스캐너 (automated 
vulnerability scanners) 505 
자료련결충 (data-link layer) 53 
자료련결층의 련결식별자 [data link 
connection identifier (DLCI)] 111 
자료변환, 이식성 (data translation, portability 
of) 96 

자료포구 (data port) 79 
자료흐름 (data streams) 324 
자료암호화규격 [Data Encryption Standard 
(DES)] 286 

자료여벌복사 (data backups) 360 
자물쇠-열쇠 (Lock-and-Key) 179 


자산 (assets) 27 

잘 알려 진 SID(well-known SID) 407 
잘 알려 진 포구 (weU-known prot) 75 
잠복비루스 (concealing viruses) 323 
자바스크립트와 보안위협 (Java scripts and 
security threats) 149 

저가격 디스크묶음 (RAID) [RAID (redundant 
array of inexpensive disks)] 356 
전송 (Transmissions.See network transmissions) 
49 

전송층 (Transport layer) 54 
전자기 간섭 [Electromagnetic interference 
(EMI)] 99 

전자우편 (e-mail) 24, 29 
전체 열쇠조사 (exhaustive key search) 283 
전체망방송 (all _ networks broadcast) 121 
전화번호발생기 (war dialers) 491 
전원문제 (power problems) 99 
점대점통로규약 [Point-to-Point Tunneling 
Protocol (PPTP)] 288 
접근가능성 (accessibility guidelines) 41 
접근권한 (access rights) 385 
접근조종목록 (ACLs(access control lists)) 181 
접근조종방책 (access control policies) 124 
접 근조종방책 서 술자 (descriptors for access 
control policy) 125 
접속형 통신 (connection-oriented 
communications) 69 

접 합단우 I 대 면 부 [Attachment Unit Interface 
(AUI)] 169 

정보징후 (info signatures) 195 
정적경로조종 (static routing) 59 
정적망주소변환 [static NAT(network address 
translastion)] 159 

정적파케트려고 [(static packet filtering) 127 
정 적 확장접 근목록 (static extended access 
lists) 179 

조종포기경고 (relinquish control alert) 378 
주소변환규약 [ARP(address resolution 
protocol)] 49 
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죽음의 Ping(Ping of death) 250 
준비신호 (Preamble) 46 
중개자공격 (man-in-the middle attacks) 507 
증명서권한기관 [certificate authorities(CA)] 287 
증분식 자료여 벌 복사 (incremental data 
backups) 361 

지상전송 (terrestrial transmissions) 104 
지 적 자원 위 험 분석 (intellectual resources risk 
analysis) 29 

지역，망주소 (zones,network address as) 57 
집선기，하브 (hubs) 112 
재난모의 (simulating disasters) 365 
재난방지와 회복 (disaster prevention and 
recovery) 343 

제 3 자의 기술정보 (third-party technical 
information) 524 

제작자보안정보 (vendor security information) 
518 

大 

차분식 자료여 벌 복사 (differential data 
backups) 362 

초기화백토르 [initialization vector(IV)] 280 
침입검출체계 (IDS) [IDS(Intrusion Detection 
Systems)] 241 

침 입검출체계 수감기 (IDS sensors) 242 
침 입검출체계조종탁 (IDS consoles) 242 
침 입 자차단단추 [Intruder lockout button 
(NetWare)] 384 

체계감시화면 [System Monitoring screen 
(Kane Security Analyst)] 535 
체계방책편집기 (System Policy Editor) 413 
취약성스캐너 (vulnerability scanners) 503 
취약성자료기지 (vulnerbility databases) 524 
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